Ich finde es auch sehr seltsam, somal es auf meiner Alix und auf einer VM Läuft, nur halt nicht die identische konfig. @JeGr Mein Zweitsystem hab ich momentan auf meinem Schreibtisch in dem besagten zickigen Zustand stehen. Wenn ich irgendwas abfragen soll (Logs, States, whatever) sag bescheid. Der Packetfilter (Prozess) arbeitet auf dem System weiter nicht, obwohl Outbound NAT wieder auf Auto steht. Im Englischen Forumsbereich (NAT) werde ich momentan mit Unverständnis konfrontiert, weil ich zwei Nat Mappings vom gleichen LAN-Netz in zwei unterschiedliche WAN-Interfaces manuell gesetzt habe. Das wäre angeblich der Grund für das Versagen von Packetfilter.  Vielleicht liegt es daran, dass sie mich mangels meiner Englischkenntissen, nicht richtig verstehen oder umgekehrt  :/ (Google Translator ist fürn Ar****)

Alles klar, danke für den Tip. Werd ich gleich mal testen…  ;)

So, jetzt funktioniert es. Ich habe gestern nochmal alles neu aufgesetzt und die Routerfirmware aktualisiert. WAN am pfsense steht auf DHCP LAN IP am pfsense ist 192.168.1.1; DHCP ist aktiv, aber nur von 192.168.1.2 - 192.168.1.2 (also eine Adresse - ob das sinnvoll ist muss ich noch testen) WAN IP am Router steht fest auf 192.168.1.2; "enable static routes" ist aktiviert. LAN IP am Router ist auf 10.10.10.1 gesetzt; DHCP am Router ist aktiv im Berich 10.10.10.10 - 10.10.10.100 DNS Server und Gateway am Router stehen auf 192.168.1.1 Verbindung ins Netz klappt, auch wenn mir der erste Seitenaufruf noch ein wenig zögerlich vorkommt. Die Geschwindigkeit meiner Kabelleitung (50/5 MBit/s) wird laut ookla Speedtest erwartungsgemäß auch über die pfsense Box erreicht. Ich vermute den Eintrag "enable static routes" am Asus Router als Ursache. Ob ich diesen Punkt in der alten Firmware nicht als Option verfügbar hatte oder ob ich das schlicht übesehen hatte kann ich leider nicht mehr sagen…

Ich hatte mich jetzt fast ein Jahr nicht mehr eingeloggt. Danke für die Antwort! Sorry für die späte Rückmeldung! Ich habe es zwischenzeitlich folgendemaßen gelöst gemacht: Mehrere virtuelle Netzwerkkarten: WAN: IP 1.2.7.2 /29 GW: 1.2.7.1 WAN2: IP 1.2.7.3 /32 GW: none WAN3: IP 1.2.7.4 /32 GW: none Das bewirkt, dass ich alle 3 öffentlichen IPs nutzen kann. pfsense routet dann alles über den Default-GW: 1.2.7.1 nach draußen und verwendet dann scheinbar auch die MAC von WAN. Es klappt also! Keine Ahnung, warum ich das nicht mal direkt getestet habe.. über Konsole hätte ich das ja genauso konfiguriert.. Aber sobald eine GUI dazukommt, setzt das Hirn aus.. ;) VG @JeGr: Sehr Schwierig. Mit deiner jetzigen Konstellation eigentlich gar nicht machbar, denn die Lösung für IP ist auch ein böser Hack, da ein Interface eigentlich keine unterschiedlichen MAC Adressen halten sollte. Da Hetzner das auch noch auf den Switches entsprechend kontrolliert und erzwingt, kann man sich da ganz übel an die Wand fahren. Die einzige Frage ist: brauchst du die anderen beiden IPs bzw. brauchst du 2-6 öffentliche IPs? Wenn ja, ist die einzig sinnvolle Möglichkeit, von den 3 zusätzlichen Adressen 2 zu kündigen. Die eine die funktioniert behältst du und orderst ein /29er IPv4 Subnetz. Ich weiß, das ist teurer als 2-3 einzelne IPs, aber dafür ist die Handhabung ein Hundertfaches einfacher. Bei der Bestellung eines kleinen IPv4 Ranges kannst du nämlich angeben, dass dieser bitte auf die vorhandene zusätzliche IP geroutet werden soll (die ja funktioniert). Anschließend kannst du das Mini-Netz dann nach gusto vergeben. Entweder in eine Art DMZ oder du machst bspw. 1:1 NAT oder VIPs auf dem WAN Interface. Das bleibt dann dir überlassen. Am Sinnvollsten, da man ja noch ein v6 Netz dazubekommt, wäre z.B. in einem relativ einfachen Setup, dass du intern für die VMs für v4 interne Adressen nimmst (10.10.10.x bspw.) und die Maschinen die wirklich extern erreichbar sein müssen per 1:1 NAT bedienst. Gleichzeitig kannst du jeder Kiste eine v6 Adresse aus dem Hetzner Netz verpassen (pfSense 2.1 vorausgesetzt) indem du das auch entsprechend auf der Sense auflegst. Anders wird es höchstens eine Wanderbaustelle mit Einsturzgefahr, denn "sauber" bleibt sonst nur der Weg ganz ohne Routing-VM. Dann hat man aber weder vor dem ESXi noch vor den VMs eine Firewall, sondern muss das selbst auf der Maschine erledigen, was mir persönlich nicht ganz so gut gefällt. Dann könnte man aber mit den 3 Einzel-IPs leben, denn diese kann man via Interface Bridging dann der VM direkt zuweisen (sprich, der VM wird die MAC und IP von Hetzner auf dem Bridge Interface zugewiesen).

Hallo Was für eine WG hast du ? … sehe gerade WG X750 ...

Davon gehe ich aus … daher !Hands off! -  ::) PS: Daher hatte ich das vermutlich damals auch über ne NAT gelöst ... nur dummerweise vergessen -wieso ...  ;)

OK danke, werde wohl meine APU jetzt produktiv setzen müssen und das andere neu aufsetzen. Momentan habe ich als quick and dirty Lösung einen Cronjob laufen, der mir das Webif jede Nacht durchpustet :/

moin zusammen, das gespräch mit dem cisco spezi hat leider auch keine neuen erkenntnisse gabracht. so ein port forwarding habe ich schon ein paar mal eingerichtet. ist zwar immer etwas fummelei, bis man den kompletten befehl zusammen hat, aber bisher haben immer alle forwardings funktioniert. die tatsache, dass ssh geht und https nicht und die zusätzliche info, dass es mit einer genatteten ip-adresse aus dem heimischischen lan nicht geht, wohl aber mit einer realen ip aus dem netz, schloss mehrere faktoren aus. der erstverdacht lag auf falschen zertifikaten. dass es am cisco lag, steht nun ausser frage. wir haben das thema an diesem abend noch mit den anerern netzwerkern am tisch etwas dikutiert und man tipt auf einen bug im cisco ios. dieses ist zugegeben schon etwas in die jahre gekommen, ich kann es mir aber erhlich gesagt nicht so richtig vorstellen. den fehler können wir hier also nicht lösen. naja. etwas mystik is halt immer dabei. mfg s.sucher

Hallo David, sorry, ich habe Deinen Post nicht gleich gesehen: Hier die zwei Screenshot mit meiner Konfig. Auf der Fritz-Box Seite muss ich mir die Konfig organisieren, da das mein Kollege gemacht hat. Gruß Christian    

Dafür muss nicht neu gestartet werden. Man kann einfach das Paket installieren, gestartet wird es dann automatisch. Es sind auch nicht die vmware-tools von VMware selbst, sondern die openvm tools. Sie sind aber ganz nützlich, damit vmWare oder ein VCenter bspw. Daten von der VM abfragen kann (Heartbeat, RAM, CPU etc.), insofern würde es schon Sinn machen sie zu installieren.

Hallo Manfred, es wäre sinnvoller wenn du uns zeigen könntest (Screenshots) oder zumindest schreiben würdest, was du wo konfiguriert hast. Das kann ein ganz simpler Fehler bei der NAT Regel oder beim ausgehenden NAT sein. An der pfSense (Mechanik) liegt es zumindest keinesfalls, da habe ich schon wesentlich komplexere Setups mit NAT u.ä. Gruß

@mrsunfire: @hege: Bei mir macht IPSec noch Probleme, da kein Traffic Throughput. Dürfte dem Forum nach allerdings einige andere Leute auch betreffen. Ansonsten bis jetzt keine Probleme feststellen können. Bei mir das Gleiche. Verbindung steht, aber es kommt nichts durch. Außerdem sagt der Syslog, dass IPsec nicht läuft, obwohl es das tut. Das soll angeblich in den neuen@viragomann: @JeGr: @virago Ich bezweifle mal frech, dass es so ohne weiteres möglich ist, eine 2.2 an eine 2.1 als Backup zu hängen, da der Sync die alte 2.1er Konfiguration rüberspielt und damit wird die 2.2er nicht mehr klarkommen. Da sich bei 2.2 unter der Haube VIEL geändert hat (FreeBSD 8->10.1,neue PF und CARP Version, etc.) halte ich das für keine gute Idee. Ich hatte mir weniger Sorgen um den Sync gemacht als um das CARP System an sich, wo sich ja auf FreeBSD 10 doch einiges geändert hat. Die Konfig, egal ob vom Sync oder von einer XML Datei, sollte die neue Version entsprechend migrieren können, schließlich soll ja auch ein Upgrade mögliche sein. Doch auch das funktionierte nicht, auch nicht ohne Sync. Dieser Versuch, die Backup-Kiste unter 2.2 neben dem 2.1er Master laufen zu lassen, wäre nur mein letzter Ausweg aus meiner Misere gewesen, weil die Kiste unter verschiedenen Versionen der 2.1.x sporadisch hängen bleibt. Dachte, weil der Rechner neu ist, dass er mit FreeBSD 10 besser laufen würde. Ich werde es nochmals versuchen, wenn das Release freigegeben ist. Snapshots nun funktionieren. Die Idee ist nicht schlecht, aber nach meinem Verständnis macht pfSense nach einem Major Update die Konvertierung der Config einmalig und speichert dann eben im ggf. geänderten/neuen Format. Die Konfiguration wird aber beim Sync ständig gepusht und das - wieder meines Erachtens nach - dann eben in altem Format was sich so wohl nicht vertragen dürfte. Da ich aber etwaige Formatänderungen nicht kenne, ist das nur Spekulation. Gruß

@viragomann: HI! Vielleicht ein DNS Problem am Server? Versuch es mal mit der IP Adresse. Bspw. 173.194.115.56 für google.de Grüße Das war auch mein erster Gedanke aber padi schrieb ja das ping google.de funktioniert.

Stimmt, damit könnte es zu tun haben! Im Versuch habe ich einfach einen TP-LINK genommen, einen mit zwei oder drei Antennen (TL-WA801ND; TLWA901ND). Später jedoch den 701 benutzt, der nur ein Antennenstecker hat, zwecks der Externen Antenne. Der am ersten Switch hängende AP ist als "AP" eingestellt und der zweite als Bridge. Wie gesagt; im Trunk kam keine Lebenszeichen an, aber auf einem Untagged Port wird das Netzwerk übertragen. Wenn es daran liegen sollte, kommt mir die Frage, ob man auch die TP-Link AP's mit drei externen Antennen bestücken kann auf jeder Seite? Oder gibts es andere Hardawre die es kann? Da die pfSense mit WLAN ausgerüstet ist, kommt mir die Frage, ob ich die externen Antennen vielleicht direkt dort anschliesse? Die Verbindung habe ich kontrolliert. Empfangsstärke ist i.O. und stabil. Und ja, die AP's konnten es - einfach so! Den einen als AP, also default Settings und den zweiten als Bridge. Hat funktioniert;(