Hallo.. Ok danke für die Info… Gibt es eigendlich eine Möglichkeit den "Interface Statistics" auf dem Dashboard die Interfaces auf 0 zusetzten? Am besten per Script mit Cron. lg, markus

Ich denke es liegt eher an der OpenSwan Konfiguration. Kennt sich eventuell jemand mit dieser Konstellation aus? Die Lifetime Phase 2 muss ich dem Client ja eigentlich nicht mitgeben? Aber natürlich musst du die Phase 2 auch auf dem Client konfigurieren. Das ist ja kein OpenVPN Tunnel mit dediziertem Server/Client Anteil. IPSec verhandelt jede Phase einzeln, dazu müssen aber trotzdem beide konfiguriert sein. Wenn die Phase 2 bspw. nicht übereinstimmt, kann es genau zu solchen seltsamen Phänomenen kommen. In dem REst deiner Konfiguration oben kann ich aber weder die komplette P1 noch die Werte der P2 ersehen. Lediglich die Crypto Werte sind eingestellt und die IKE Lifetime. Da fehlt aber noch der Rest.

Hört sich lustig an. Ggf. könntest du einen Teil auch per time-based Rules abwickeln (also quasi Grundzeiten definieren, wo Junior und Töchterchen ins Internet dürfen), und die sonstigen Zeiten über ne Zusatzregel an und abschalten. Wäre sicher nicht optimal und das CP oder ein anderes Modul ggf. sinnvoller. Du könntest bei entsprechendem Switch auch die Kids in ein eigenes VLAN hängen (was dann ein extra Interface auf der pfSense wäre und damit wären wieder Interface Regeln möglich, CP etc.). Was hat es denn noch mit dem Firewall Auszug auf sich? Und den Ports? Den letzten Teil hatte ich nicht ganz im Zusammenhang verstanden.

Ich verstehe leider das neue Schaubild nicht. Sind da jetzt plötzlich 2 pfSense am Start? Warum? Der oben geschilderte Fall funktioniert bei korrektem Setup ohne Probleme. Verstehe die neuerliche Umgestaltung nicht. Wenn ständig was umgebaut wird, kann es ja nicht funktionieren.

Du hast leider überhaupt nichts angemerkt, ob du Änderungen vorgenommen hast, wie ich sie im letzten Post vorgeschlagen habe. Ich kann also kaum was dazu sagen, dass das Problem noch besteht, wenn ich nicht weiß ob du was verändert hast… Hat die pfSense hinter der FB jetzt eine statische Adresse oder immer noch dynamisch (weil du hier mit dhclient rumkasperst)? Wenn nein, warum? Ich habe oben weitschweifig genug (so hoffe ich) ausgeführt, dass es quatsch ist, Router hinter Router zu betreiben, wenn der zweite Router dann auch noch die Adresse dynamisch bekommt und ggf. wechselt. Das ist Unfug! Nein, du hast kein Skript zu schreiben. Das ist genauso Unfug, denn dein geschilderter Fall würde überhaupt nicht mehr passieren, wenn du dem Folgen würdest, was wir dir hier die ganze Zeit schon raten... Gruß

Du bist schon richtig gut. Es handelt sich um einen Hetzner-Server. Naah, ich kenne nur meine Pappenheimer aus langer Erfahrung ;) Aber in ein paar Schritten was muss dann getan werden? Nunja, die Bridge muss wieder weg. Auf Nummer sicher gehen würde ich indem ich auf dem WAN der pfSense VM den Zugriff per tcp/80,443,22 von deiner IP aus erlaubst (für die Umbauarbeiten), dass für den Fall der Fälle du dich aussperrst du entweder mit vClient oder auf externem WAN wieder auf die Kiste kommst. Ansonsten klassisches Setup. Erfragen auf welche IP das Netz geroutet wird Erfragen ob dazu ggf. eine bestimmte MAC benötigt wird diese IP/MAC auf WAN Seite der pfSense konfigurieren LAN Seite mit privatem Netz (oder Netzen - ggf. mit mehreren VLANs) einrichten andere VMs an vSwitch1 hängen, der seinerseits an LAN der pfSense hängen sollte (und an keiner physikalischen NIC des vmware Hosts) 1:1 NAT einrichten mit externer IP aus dem /29er auf die private IP der VM die du ins Netz bringen willst. So würde ichs machen. Durch die 1:1 NAT hast du den Vorteil, dass du nicht noch die IP fürs Routing verlierst (die die pfSense selbst dann bräuchte) und du ggf. sogar die Netz- oder Broadcast Adresse für Outbound NAT verwenden kannst (spart noch ne IP Adresse). Grüße Jens

(der Admin, der für die Beinchen des "fremden" Netzwerkes in unserer DMZ verantwortlich ist, kann dazu nur sagen, dass sein Dienstleister, der die FW für ihn wartet "irgendwas mit failover" auf einer Cisco-Maschine macht …) Auweia, sowas von einem "Admin-Kollegen" lesen zu müssen, ist schon gemein - als Admin sollte man wissen, was in seinem Netz los ist ;) Aber schön, dass das Problem tatsächlich so leicht zu finden war. Und IMF (irgendwas mit Failover) bei Cisco heißt im Normalfall mind. HSRP oder sogar VRRP. Dann ist es kein Wunder. Grüße

Das Problem war, dass die pfSense dann NICHT nattet, wenn ein Gateway eingetragen ist. Für meine nachgelagerten Netze habe ich ein Gateway gebraucht und das bei der LAN Schnittstelle angelegt - dadurch wird es auch ausgewählt und dann nattet er nicht. Ich hab mal ein Bild der betreffenden Stelle angefügt.  

Hi shiversc, vielen Dank für deine Antwort. Die erfragten VLAN-Modi sind möglich; das Telefon kann auch als vlan-taggendes Gerät umgangen werden indem ein davorgeschalteter switch das taggen/untaggen übernimmt (ist zwar kein Cisco oder Dell aber läuft). Das Telefon hängt nicht direkt an der pfSense, diese ist aufgesetzt als virtuelle Maschine; das ist allerdings ein interessanter Test um die nachfolgende Infrastruktur als Ursache auszugrenzen. BTW: Der jetzige Aufbau lässt das gewünschte Szenario temporär zu, derzeit taggt ein switch das Netz2 mit VLAN100 und führt es dem Netz1 zu. Das Telefon in Netz1 erhält dann eine IP aus dem Netz2 via DHCP von der pfSense. Doch wie kann man das mit der pfSense realisieren…? Gruß WitchDoc

Das CP sitzt auf einen Interface. Das erübrigt die Frage mit dem WLAN. Nein, die pfSense erkennt die Access Points nicht von allein. Das könnte man theoretisch machen, aber das  wäre völlig sinnfrei, weil die die MAC-Adresse des Clients der über WLAN zum Layer verbunden ist, das entscheidende Merkmal darstellt. Die Verbindungen kommen ja nicht von dem Access Point oder seiner IP, sondern vom Client der den Access Point als Bridge nutz um die MAC deines pfSense zu erreichen.

Die pfSense hat NUR am LAN Interface bereits eine Regel vorkonfiguriert, die sämtlichen Traffic Richtung Internet erlaubt. Für weitere Interfaces wie dein Gastnetz muss du die Regeln selbst erstellen. Und Firewall-Grundsatz: Alles was nicht explizit per Regel erlaubt ist, ist verboten. D.h. solange du nicht Traffic am Gastnetz erlaubst (Firewall > Rules), geht gar nichts. Wie du die Regeln einrichtest, hängt von deinen Wünschen ab. Was CP ist, wieß ich nicht. Torrent ist ohnehin problematisch, weil der Torrent-Client auch vom Internet erreichbar sein müsste. Dafür müsstest du eine Portweiterleitung der jeweiligen Torrent-Ports (z.B. 6881, 8891) an eine bestimmte IP einrichten, oder UPnP aktivieren, wenn der Client dies unterstützt, dann konfiguriert sich der Client die Firewall selbst. Von beidem rate ich aber in einem Gastnetz ab. Wenn es reicht, dass dein Gastnetz nur Webserver per http erreicht, dann richte auf LAN2 eine Regel ein, die Verbindungen überall hin außer Lan net auf Port 80 u. 443 erlaubt. Eventuell auch Port 25 für Mailversand, wobei diesen auch Spambots nutzen würden, wenn ein infizierter Rechner drangehängt wird. Erlaubte Ports kannst du in Firewall > Aliases > Ports einen gemeinsamen Namen geben und diesen dann in der Regel als Zielport angeben. Soll der Traffic Richtung LAN nicht erlaubt sein, kannst du in der Regel bei Destination das "Not" anhaken und im Dropdown "Lan net" auswählen. Geschwindigkeit drosseln geht in Firewall > Traffic Shaper, das hab ich aber selbst noch nie gemacht.

@viragomann: Ah ja. Das dürfte ein Problem mit deinem Keyboard sein. Wobei aber Keyboard austauschen auch nichts bringen wird. Das Problem ist das Board. Soweit ich mich erinnern kann, kann man hier einen anderen Treiber laden über den Bootlaoder Prompt. Der ist im Boot-Menu mit "7" zu erreichen. Vielleicht mal danach das Forum durchsuchen. Hier müsste es schon Lösungen geben. Sieht so aus als ob es genau das war, ist grade beim installieren :) Also hat nun alles geklappt, danke für die hilfe!

Jo klasse wa…der 512'er Riegel wird nicht erkannt...war ja klar...kein Kingston oder KVR. Trotzdem Danke für die Mühe.. Werner

Also das mit dem DHCP war nur in Bezug auf die Clients gemeint. Die DHCP-Rolle eines Windows Servers ist mehr oder weinige Pflicht. Bezüglich deiner VM. Keine schlechte Idee, aber ich werde zunehmend das Gefühl nicht los, dass dazu viel zu wenig Ahnung vorliegt. Das mit der MAC-Adresse ist so weit richtig, dass ein Switch solche verbindet und eine MAC theoretisch beliebig viele IPs haben kann.

Hört sich doch sehr schick an. Vielleicht magst du noch etwas ins Detail gehen? Wie sind die WANs aufgebaut? Loadbalanced oder für gewisse interne Adressen je ein WAN etc. :) Grüße

Hallo ja das mit den Vouches finde ich auch gut so wie es ist. Aber ich hatte vor, das man sich mit den Voucher nur 1 mal einlogen kann. Beispiel: Ein Kunde hat einen Voucher bekommen und ist mit 2 Personen im Meeting Raum. Die 1. Person meldet sich an und ist im Internet. Person 2 sieht den Voucherzettel und meldet sich ebenfalls an. Jetzt ist die Person 2 im Internet und die Person 1 ist raus. Ich möchte vermeiden, das der Voucher wie oben beschrieben ein 2. mal verwendet werden kann. Person 1 meldet sich an und Person 2 würde eine Fehlermeldung erhalten, z.B.: Voucher wird bereits verwendet. Gruß

pfSense > VPN > OpenVPN > Wizard here you go… Da braucht es kein großes Tutorial mehr. Wizard durchklicken, einstellen was man braucht (ist eh meist wenig bei Client/Roadwarrior Setup) und sobald es fertig ist installiert man sich das Package "OpenVPN Client Export Utility" noch dazu. (System/Packages). Damit bekommt man dann noch einen Export Reiter, womit man für gängige Plattformen (Windows Mac Linux) sich die entsprechende Client config generieren und exportieren kann. Das spielt man auf dem Laptop ein -> fertig. Grüße

Hallo, es handelt sich um dieses Modell "Ruckus Wireless ZoneFlex 7731 Wireless Bridge" Ich verstehe die Anleitung so: Der Port ist fest als "Trunk Port" konfiguiert, damit sollten alle VLAN IDs erhalten bleiben. VLAN Untag ID: Enter a valid VLAN ID in this field to redefine the “Native VLAN” (also known as “Untag VLAN”. Default is 1. Valid entries are 1-4094. Members: Not configurable with VLAN Trunk port type (membership includes all VLANs). Working with Port-Based VLANs The ZoneFlex 7731 Wireless Bridge has only one Ethernet port and this port must be configured as a VLAN Trunk Port. Therefore, as a VLAN Trunk Port, the port is a member of all VLANs (1-4094). The VLAN Untag ID field (default = 1) can be used to redefine the “Native VLAN” for the port. If your network uses a VLAN other than 1 as the native VLAN, you should configure the Untag VLAN so that the configuration across the network is consisten. Gruß Shine