Danke, habe mir aber mittlerweile  pfSense installiert und finde das hoch interessant. Werde die VPN Funktionen ausprobieren. Die Firewall in den Grundeinstellungen denke ich mal sich schon sicher, oder ?

Hallo, habe das nun erstmal ans laufen bekommen, sobald ich das TunnelNetzwerk auf ein 30 Netz einstelle statt einem 24 funktioniert das ganze Problemlos. Dabei bekommt Server die IP mit der 1 und der Tunnel die 2, auf Client Seite umgedreht 2 der Client 1 der Tunnel. Naja nun ist es nur leider nicht möglich dann ein MultiSite Szenario ohne 2 OpenVPN Server Instanz aufzubauen. Hat da jemand eine Idee, vielleicht unter Advanced Options eine bestimmte Einstellung welche getroffen werden muss? Zusätzliche Routen die ich von Hand angeben muss? client-to-client hatte ich auch schon funktioniert, nur leider ohne Erfolg. Über eine Hilfe wäre ich sehr Dankbar.

Das sind meine Verusuche bisher: http://forum.pfsense.org/index.php/topic,69642.0.html

Nee, das nanobsd bedeutet ja nur, das es auf CF-Cards läuft. Manche Dinge gehen dann halt nicht (z.B. Proxy), brauche ich aber nicht. Nanobsd hat für mich den Vorteil der 2 geteilten Partitionen -> schlägt ein Upgrade fehlt geht es einfach zurück zur vorherigen! Bin mir jetzt fast Sicher, dass es mit dem NTP-Service zusammen hängt, da der nach dem Neustart nicht mehr läuft. Jemand eine Idee?? Gruß, Klaus

Neustart der FritzBox war die Erloesung meines Leids. Super Support ich moechte mich hier erneut bedanken. [image: thumbs_up.gif]

Ich hatte mal Kontakt mit einem Deutschen Schulungsgeber, welcher pfsense selbst schon Jahrelang einsetzt. Leider ist diese Schulung im Sand verlaufen da es doch ein erheblicher Aufwand ist eine solche Schulung zusammenzustellen und so wie es derzeit aussieht nur einmal verkaufen zu können. Die Kosten hätten sich auf 400 ,-  / Person für 2 Tage belaufen Schulungsort wäre die Schulungszentrale in Deutschland gewesen. Das Zertifikat kann meinetwegen gerne ein erfolgreich teilgenommen beinhalten. Falls jemand eine solche Schulung zusammenstellen würde muss ich es ohnehin noch mit meinem Chef abklären wir währen dann zumindest 2 Personen eventuell 3 die diese Schulung besuchen würden.

Hallo Grünes Fröschli, danke für den Hinweis mit dem WLAN, das ist wirklich recht einfach umzusetzten. Funktioniert auf Anhieb … cool So kann ich meine SmartPhone und meinen SmartTV aus meinem Internen Netz sehr gute verbannen UFF ich trau dem Zeug nicht so wirklich nutzen will ich es aber schon. Was leider nochimmer nicht funktioniert ist der Zugriff WAN seitig auf den PC im DMZ. Das NAT schein nciht wie in der Version 1.2.3 zu funktionieren. Obwohl ich NAT wie in der Version 1.2.3, in der es prima funktioniert hat, eingerichtet habe komme ich immer wieder nur auf das Interface der PFSense selbst (auch von Extern per DNS-Rebind Protection ist disabled) Die PFSense macht zudem einen Redirect von HTTP auf HTTPS, Sie schickt mich immer zu sich selbst anstelle auf den Home PC. Ich habe hier ein ALIX Board alix2d3 auf dem die PFsense läuft Mein DSL Router ist nur Telefonzentralle und DSL Modem. Die Einwahl macht die PFSense wo das WAN Interface als PPPoE konfiguriert ist (funktioniert wunderbar nachdem man die MAC Adresse für das WAN Interface nachkonfiguriert hat) Vodafone läst es andernfalls nicht zu (Routerzwang von Provider) Internet               |   Vodafone Router DSL easyBox 802   als DSL Modem u. TK Anlage       |   -------WAN--------------------------------------------------------------------------------   |      PPPoE      |                                                                                          |   |                      |                                                                                          | LAN         DMZ  172.168.1.n                                                            WLAN   |                        |                                                                                        |   |                        |                                                            ------------------------------------------------- Switch PC Ubuntu                                                        |                            |                            | 8 Port SSH, Apache (80 u. 443) 80 für Piwik          intern PC, NB      Smartphones            SmartTV          |                                                                                          PC u NB          untereinander keine komunikation   |                                                                                      dürfen per smb PC's                                                                                intern und surfen Ich möchte gerne das ich von unterwegs per SSH auf den Server kann (SCP ist manchmal hilfreich) und eben meine mini Applicationen auf dem Apache wie (Piwik, knowledgeroot, Owncloud) nutzen möchte. So kann ich der Familie (nur der Familie !!) unterstützung leisten, das ist das einfachste Weg um dort kleine Anleitungen zum nachlesen hinterlegt/Teilen in der Owncloud. Unter Firewall > NAT > Portforwad  habe ich wie früher die Passenden einträge erstellt, klappt nur nicht. Beispiel: WAN TCP * * 172.168.1.100 80 (HTTP) 172.168.1.100 80 (HTTP) ebenso für SSH und HTTPS Wo kann man da nachsehen ? Wo muß man da ebentuell noch drehen ? Sicher mache ich da wieder eienn Anfängerfehler !! Ich sehe ihn nur nicht Gibt es wo ein kleines Howto wie das für den Einsatz im DSL Bereich zu konfigurieren ist ? Die NAT Regeln sehen wie folgt aus IPv4 TCP         * * 172.168.1.100 22 (SSH)    * none IPv4 TCP/UDP * * 172.168.1.100 80 (HTTP) * none IPv4 TCP/UDP  * * 172.168.1.100 443 (HTTPS) * none Dann habe ich es nocht mit folgenden Regeln in der DMZ versucht. IPv4 TCP * * 172.168.1.100 80 (HTTP) * none   IPv4 TCP 172.168.1.100 * * 80 (HTTP) * none Folgende LAN Regel gibt es ebenso IPv4+6 TCP LAN net * * 80 (HTTP) * none NAT reflection hab ich auch schon versucht (Pure NAT und NAT+ Proxy) HTTP dachte ich sollte so offen sein wie ein Scheunentor DANKE euch

mmh, dann kannst Du - zumindest innerhalb dieses Netzwerkes - doch gar nicht routen? Du brauchst dann den Transparent/Bridge Modus der pfSense. Hier gibt es ein paar Hinweise dazu - auch wenn nur 1-3 Punkte davon bei Dir nutzbar sind: http://magiksys.blogspot.de/2012/12/pfsense-bridge-gateway-vmware-ovh-ip.html Das hier passt ggf. besser: http://forum.pfsense.org/index.php?topic=50711.0 und in https://doc.pfsense.org/index.php/Tutorials gibt es einen Link zu http://pfsense.trendchiller.com/transparent_firewall.pdf

Du regelst jeweils immer nur die Regeln für das eine Interface in der Firewall wenn du es einschränken willst brauchst du in beiden Interfaces jeweils 2 Regeln. Source Lan1 Destination Lan2 Destination Lan2 Source Lan1.

Vielen Dank für die ausführlichen Antworten, den Rest werde ich nun auch noch hinbekommen! Von sowas lebt ein Forum  :)

Also lt. Anfrage stehen ja diverse IPs zur Verfügung… Dann sollte eingehendes NAT als NAT oder 1:1 NAT auf die interne IP des Owncloud Servers eingerichtet sein. Optional Outbound NAT auf manuell und owncloud Server => public IP reverse gemapped. Wegen "https" Problem denke ich geht es hier eher um das "gültiges" Zertifikat Problem. Das lässt sich einfach lösen - den DNS Forwarder oder den eigenen DNS Server so einrichten, dass der öffentliche DNS Name im lokalen Netzwerk auf die interne IP aufgelöst wird - und die Firewall Regeln den Zugriff erlauben.

Also streng genommen kann man pfSense unter Debian laufen lassen… in einem KVM Host :D Haben wir hier für eine Untergruppe eingerichtet - da arbeitet die pfSense aktuell nur als OpenVPN Tunnelprovider, ist aber von mir soweit vorbereitet worden, dass sie später per Config backup/restore auf eine reale Appliance übertragen werden kann.

jupp… Fehlermeldung richtig lesen :D "can't assign" ... => es geht also nicht um das Ziel, sondern um die Quell-IP ... => mit welcher Quell-IP arbeitet denn Euer SquiD? Für Loadbalancing wird empfohlen, tcp_outgoing_address 127.0.0.1; im Optionsfeld davor zu schreiben (oder mit ; anzuhängen) Aber Achtung… pfSense 2.1 hat leider einen Floating Bug... das mit dem MultiWAN Loadbalancing/ Failover mittels FloatingRules + GatewayGruppe geht daher zur Zeit nicht.

Hi, das Problem sollte hoffentlich schon gelöst sein… ich vermute es ist ein Denkfehler. Was hält Dich davon ab, auf der äußeren Firewallseite ein 1:1 NAT (ein- und ausgehend) zu haben, was Dir die Verbindungen zu den entsprechenden DMZ Servern durchreicht?