Hallo Martin, also irgendwie erschließt sich mir der Use Case noch nicht wirklich, denn bei 1:1 NAT legst du die IP nicht innen auf, sondern außen. Deshalb könntest du vielleicht (mit Skizze?) etwas erläutern, was du erreichen willst. Was ich vermute: WAN IF mit .35 und Default GW auf .33 DMZ IF mit irgendeiner Adresse Clients auf DMZ, die echte IPs bekommen sollen (.36-.62 vermutlich?) 3. Interface für …? Ich spreche da jetzt von DMZ, weil das was du beschreibst eigentlich eher DMZ als LAN Job ist. Wenn ich das richtig interpretiert habe, wäre meine Herangehensweise gewesen: WAN IP auf .34 statt auf .35 setzen (weil GW+1 einfacher zu merken ist) alle nötigen IPs bzw. das restliche Netz auf dem WAN als Alias-IP anlegen Clients auf DMZ Interface bekommen interne Dummy-IP (10.x, 172.16.x oder 192.168.x was am wenigstens Terror macht), DMZ Interface bekommt .1 Clients bekommen feste Zuordnung (kann durch MAC Zuweisung geschehen) 1:1 NAT konfigurieren auf WAN von externer IP .xy auf interne IP .yz Fertig. Ggf. noch ausgehende Verbindungen von .yz wieder auf .xy mappen. DHCP an der Stelle führt nur zu vielen Tränen. Grüße Jens

Das GW der VM ist natürlich 192.168.4.1. Habe mich vertippt. Leider konnte ich bisher nicht weiter testen. Ich werde es am We erneut versuchen. Diesemal werde ich PfSense direkt ans Modem anschließen. Dann ist zwar mein Telefon, welches über die Fritzbox läuft, tot, aber dann ist das halt kurz so

Habe die pfSense neu installiert. Jetzt läuft alles wie es soll. Offensichtlich war schon einiges vermurkst …

Hallo, leider bin ich hier auch nicht fündig geworden. Bringt es evtl. etwas eine Regel zu setzen die den Traffic explizit erlaubt? Es wird ja alles geblockt bis es explizit erlaubt wird. Habe hier schon diverse Tests und Einstellungen gemacht, leider bisher ohne Ergebnis. Ich habe in einem älteren Foreneintrag einen Hinweis auf einen Bug gefunden und dies nachrecherchiert. Der Eintrag in der services.inc ?! wurde aber scheinbar schon mit einem neueren Release korrigiert. MfG

Problem gelöst. Ich habe die NAT-Regeln eingestellt wie im HowTo beschrieben, dann ging es.

@mrsunfire: Naja, darum mache ich es eigentlich mit dem Limiter und nicht dem Shaper. Aber scheint wohl das gleiche Problem zu sein, Mist. Wollte nicht wegen 20 MBit's ein paar hundert Euro für neue Hardware ausgeben. Gibts einen Preistip? Das gute Stück sollte Gigabit schaffen (genutzt werden 100-300 MBit's in Zukunft) und maximal eine VPN Verbindung, über die jedoch keine großen Mengen transportiert werden. ich hab mir damals für mein Heimnetz ein Board mit Atomprozessor Dualcore + 2 GB RAM + Gehäuse + zusätzliche Netzwerkkarte für ca. 120€ gekauft. Stromverbrauch ca. 15W. Habe dort eine 100Mbit Leitung von UM angeschlossen und den HFSC TrafficShaper mal laufen gehabt. Hatte ca. 10 verschiedene Queues und alles lief ohne Probleme. Aber auch der normale Limiter lief problemlos. Ansonsten, wenns Serverhardware sein soll, kann ich die HP ProLiant DL 360 empfehlen. Die alten Dinger bekommt man bei ebay oder anderen Gebrauchtwarenhändler ebenfalls für gute 100€. Die Dinger habe ich an fast allen Standorten und die schaffen auch locker 100 Mbit/s, obwohl fast der gesamte Traffic durch den squidguard geht.

Hallo, Ich durchschaue leider noch nicht ganz, was die Auflistung der beiden statischen IPs darstellen soll. Da du eine /27er Maske angibst, weiß ich nicht, ob dir das gesamte /27er Netz zusteht, oder du nur 2 Adressen davon bekommen hast (von Hetzner). Der Grund, warum die meisten Guides bei ESXi und pfSense bei Hetzner lediglich mit einem eigenen kleinen Subnetz funktionieren ist der, dass Hetzner auf seinen Switches sehr harsche Regularien durchsetzt und die MAC-Adresse des Servers fest dem Switchport zuweist. Somit sind öffentliche IPs auf VMs kaum möglich, da die VM schlecht die gleiche Hardware MAC haben kann, wie der Server selbst. Zudem kommt hinzu, dass Hetzner ESXi nur dann installiert, wenn du zusätzlich zum Server auch eine kompatible Intel NIC dazu orderst, damit der ESXi die bei der Installation auch direkt erkennt (Hetzner verbaut sonst gerne recht kostengünstige NICs die aber ggf. nicht erkannt werden oder andersweitig Probleme haben/hatten). Da der ESX selbst ja auch administriert werden will, wird eine zweite IP benötigt, auf die die pfSense hören kann, während der Hypervisor auf der primären IP aufliegt (über die auch der vSphere Client verbunden werden kann - sollte man später ändern). Gibt man dann bei der Bestellung an, dass man eine zweite IP für solch ein ESXi Szenario benötigt, bekommt man mit der zweiten IP auch gleich eine MAC zugewiesen, die man der pfSense mit der IP aufs WAN Interface bindet, damit der Hetzner Switch einen auch wirklich ins Netz lässt. Auf dieser zweiten IP kann man dann theoretisch über PortForwardings oder auch IPv6 dann VMs hinter der pfSense ansprechen. Oder man beißt in den sauren Apfel und ordert noch eine oder zwei weitere IPs (oder ein kleines Netz). Ein Netz ist einfach - da die pfSense dann routen kann, ist der MAC Filter auf dem Switch kein Problem mehr. Bei Einzel-Adressen könnte(!) es gehen, dass man der pfSense diese als Alias IPs auflegt und sie via 1:1 NAT dann auf VMs dahinter verteilt. Das wäre ggf. noch eine Möglichkeit. Grüße

Hallo, BSD lagert nach 24h irgendwelche Statusinfos aus dem RAM auf die Swappartition aus. Siehe: 10:23PM  up 78 days, 15:57, 2 users, load averages: 2.07, 2.09, 2.11 CPU: 50.0% user,  0.0% nice,  0.0% system,  0.0% interrupt, 50.0% idle Mem: 2944K Active, 2820K Inact, 15G Wired, 293M Cache, 1643M Buf, 235M Free Swap: 30G Total, 19M Used, 30G Free Rechner (FreeBSD 9.1) läuft seit 78 Tagen, RAM sind 16G drin und in dem Moment nur 2,9M aktiv genutzt und trotzdem wird 19M Swap benutzt. Der Rechner ist kein Router, aber das Prinzip ist das gleiche… Gruß ré

Vielen Dank das war es. Hatte es am Anfang über die DHCP Leases eingestellt, da wollte es nicht, nun über DHCP Server Settings direkt hat es auf Anhieb geklappt. Vielen Dank für die rasche Antwort.

Der HP kann alles was du willst!

@mrsunfire: Habe nach langem probieren nun die 2.1 frisch per Hand geflasht, dann läuft alles. Dieselben Erfahrungen auf einer Alix-Maschine mit "filesystem full" habe ich auch gemacht. Dazu kommen noch  RDD-Fehlermeldungen und WLAN-Probleme. RDD-Graphiken konnte ich überhaupt nicht erstellen und habe schließlich die RDD-Funktionalität deaktiviert. Damit lief wenigstens meine Alix-Maschine auf einer frisch geflashten CF-Karte fehlerfrei hoch. Die WLAN-Probleme muss ich noch genauer untersuchen. Meine Erfahrungen schreibe ich dan vermutlich im englischsprachigen Teil des Forums auf. Nach all den Problemen habe ich erst mal keine Lust mehr, meine Soekris-Maschine auf Version 2.1 zu bringen. Da sie auch super stabil unter Version 2.0.3 auf CompactFlash-Karte läuft, erwarte ich ähnliche Probleme. Gruß Peter

So, ich habe jetzt squid, squidguard und sarg installiert, aber es findet sich nirgendwo eine Anleitung zu sarg… Da Sarg aber auch keine logs findet, gehe ich davon aus, das Squid keine erstellt... Ferner habe ich das Problem, dass interne IP-Adressen nun nicht mehr aufrufbar sind. Die PFsense allerdings schon... Was kann ich tun? EDIT: Ich lasse Squid nicht mehr im transparenten Modus laufen und habe erstmal einen Client manuell im Browser auf dem Proxy eingestellt.

Hallo Christian, habe das selbe Problem. Eine Lösung wird auch noch eine weile auf sich warten lassen. https://redmine.pfsense.org/issues/1629 Gruß, Klaus

Eine Firewall-rule auf dem LAN-Interface und ein Eintrag unter Services>DNS Forwarder>Host Overrides der den Server Kirk auf die interne IP definiert löst das Problem insofern, als man den Server aus dem LAN mit seinem Namen (kirk) erreichen kann. Das reicht f meine Zwecke allemal. Das wäre auch mein Vorschlag gewesen. Der DNS Forwarder ist für einen "kleinen" SplitDNS Ansatz eigentlich genau richtig. Notfalls kann man hier noch eine komplette lokale Domain als local resolution auswählen (so dass bspw. domain.lan für ein AD immer NUR lokal aufgelöst und nie weitergereicht wird). Leider kann ich nicht feststellen ob der Traffic übers richtige Gateway geht. Wie kann man das feststellen/prüfen ? Eigentlich recht einfach über einen Traceroute von intern (am Besten IP only ohne DNS Auflösung) und dann nachsehen, ob der nächste oder übernächste HOP des Rechners dann das GW vom zugewiesenen Netz ist oder das DefaultGW. Allerdings: wenn draußen die richtige IP ankommt, wäre es höchst seltsam, wenn der Traffic übers falsche Gateway ginge, weil das bedeuten würde, dass die zugewiesenen Teilnetze auch über das normal per DHCP erhaltene DefaultGW geroutet werden. Das wäre seltsam konfiguriert (es sei denn das Default GW wäre auch eben über mehrere IPs erreichbar, nur warum dann die Scharade mit dem DHCP?) Dann ist auch noch die Frage zu lösen welche Hardware f die pfsense (die dzt noch auf einem alten schrottrechner haust) nun ins Haus kommen soll. Nun da gibts diverse Möglichkeiten, aber bis auf 2 Sachen würde ich mir kaum Sorgen machen: WLAN Nagios? zu 1) Es gibt einfach (noch) keine aktuellen WLAN Treiber für pfSense, die ordentlichen Standard und Durchsatz ermöglichen. Wir hoffen, dass das mit 2.2 besser wird, da dieser Branch dann auf FreeBSD 10 (statt 8.3) aufsetzen soll und sich da Treiber-mäßig doch viel getan hat. Aber in 8.3 gibt es eigentlich nichts, was 802.11n spricht, geschweige denn 11ac. Mein Tipp an der Stelle ist da auch wirklich, WiFi machen zu lassen von Geräten die nichts anderes tun und den AP dann einfach an ein dediziertes Interface der pfSense zu hängen. Dann ist auch Captive Portal etc. nur ein kleines Problem. Und je nach AP kann man dann dabei gleich noch Nettigkeiten wie unterschiedliche VLANs, multiple SSIDs und Co implementieren zu 2) Was willst du mit Nagios auf der pfSense? ;) Aber was ich mir durchaus vorstellen könnte für deine Anforderungen: Die Lanner FW-7541D. Dazu kannst du auch hier im Forum den österreichischen Kollegen "esquire1968" aka Thomas befragen, der hat sich das gute Stück gerade zugelegt. Ich selbst habe den Vorgänger, eine FW-7535H. Was dafür spräche - und sich mit deinen Anforderungen deckt: Dual Core Intel Atom D525 (genügt für die meisten, nicht so CPU lastigen Prozesse, wenn nicht noch extrem viel VPN dazu kommt etc.) 6 x GbE LAN ports (genug zum Spielen und für diverse Interfaces: 2x WAN, 1x DMZ, 1x LAN, 1xWLAN, 1x VOIP bspw.) Up to 4GB of RAM (damit kann man auch über eine kleine Snort-Lösung nachdenken) SATA and CompactFlash (somit CF Karte kein Problem, 2,5" SSD/HDD Einbau ist aber später auch kein Problem wenn man mehr Platz bräuchte) Mini-PCIe Expansion (wäre theoretisch für WiFi möglich, evtl. gibt es auch irgendwann mal wieder Crypto-Karten in dem Formfaktor für VPN speedup oder auch eine 3G Modemkarte) Lüfterlos Leise Sehr geringer Stromverbrauch Ist mit ca. 480€ zwar auch nicht gerade "günstig", billig ist sie auf gar keinen Fall. Und eines der wenigen Geräte, die gleich mit stolzen 6 1GbE Interfaces daherkommen. Syslogging auf externen Host ist ja kein Problem, via SNMP und/oder NRPE/Zabbix Client lässt sich das gute Stück auch überwachen, ein paar OpenVPN Connects sind kein THema und deine WAN Bandbreite ist noch jenseits eines Werts, wo das gute Stück zu schwitzen anfangen würde (außer natürlich bei heftigem Snort Einsatz ;)) Grüße