Hi! Deine Anmerkung mit dem Tunnel war goldrichtig - jetzt klappt die Verbindung. Ich hatte tatsächlich "nur" eine Client to Server Verbindung aufgebaut, benötige aber eine LAN <> LAN Verbindung. Die Konfiguration des Tunnels war mit dieser Anleitung dann einfach … http://www.google.at/url?sa=t&rct=j&q=&esrc=s&frm=1&source=web&cd=1&cad=rja&ved=0CC0QFjAA&url=http%3A%2F%2Fdoc.pfsense.org%2FCreate-OpenVPN-client-to-TUVPNcom.pdf&ei=F2tYUsnHL4Oo4gTHwoHADw&usg=AFQjCNE-cDMMbGObaYTD2EGUGxbXQlVIoA Nochmals vielen, vielen Dank! Gruß Thomas

Das Squid Paket ist die latest 2.7er Version von Squid, Squid3 bezieht sich auf die 3.1.x Version. Squid3-devel bezieht sich auf den aktuellsten 3.3.x snapshot von Squid. Ersteres ist stable, squid3 als beta geflagged (aber ich würde es als recht stabil einschätzen) und die latest Version ist für alle die ggf. ein besonderes Feature aus der Development Version benötigen. Wichtig ist nur, dass andere Pakete für die richtige Squid Version installiert werden, sofern benötigt (wie squidguard o.ä.). Welche du benötigst, liest du am Besten am Feature Set im Squid Wiki, da 2.x und 3.x parallele Releases sind, 2.7 aber wohl die letzte 2er Version ist, trotzdem die 3.x aber noch nicht alle Funktionen aus 2.7 übernommen hat: http://wiki.squid-cache.org/Squid-2.7 http://wiki.squid-cache.org/Squid-3.0 Ich würde vermuten, 3.1 oder 3.3 wäre das was du suchst, aber das ist nur eine Vermutung.

Vielleicht kannst du auch mal in die Datei zabbix2-proxy.xml reinsehen (die Konfiguration des Pakets), evtl findest du dort die Parameter die deine Einstellungen überschreiben. Grüße

Ich musste alles von Hand deinstallieren und wieder installieren. Mit der automatischen neuinstallation der Packages die pfSense beim Update durchführt hat es nicht funktioniert.. Frag mich nicht wieso.. Aber ich musste Squid, Squidguard und Sarg manuell deinstallieren und neu installieren damit es lief..

Hi, natürlich wäre es schön wenn du uns hier auf dem Laufenden halten kannst - sofern es natürlich keine zu detaillierten Infos sind, die ggf. vitale Daten enthalten. Die natürlich weglassen ;) Ich bin gerade im Zuge einer Neustrukturierung/Umstellung und löse damit ein 2-Knoten Juniper-Firewall-Cluster ab. Das ist momentan auch viel Arbeit, da nach der Re-strukturierung relativ viele kleine VLANs vorhanden sein werden. Und die müssen eben alle als eigenes Interface aufgelegt und konfiguriert werden. Zweifach. Das ist lästig, aber damit kann man die einzelnen VLANs auch wesentlich besser separieren und gegeneinander absichern. Da ich (hoffentlich) wenig Intra-VLAN Kommunikation habe, sondern das meiste nur von Projekt-VLANs zu einem Infrastruktur VLAN (DNS, Mail etc.) und der Rest Traffic ins Internet ist, hoffe ich, dass die Last der FW hier gering genug ist. Ansonsten steht immer noch die Möglichkeit offen, die VLANs auf Switche hinter die Firewall zu verlagern und die Switche mit einem großen Transfernetz anzubinden. Das bringt dann aber wieder Komplexität ins Setup, denn dann muss ggf. nicht nur die Firewall gecheckt werden (bei Problemen), sondern auch die Switche, dort ggf. noch Regeln etc. etc. deshalb ist unser Plan bislang, das meiste auf den Firewalls zu terminieren und einige High-Traffic VLANs, die eh kein Internet brauchen (Backend, Management, Backup-Netze) direkt über die Switche abzubilden und damit den Traffic von der Firewall fern zu halten. Ob das klappt - weiß ich in einigen Wochen ;) Grüße

Bis auf die Punkte mit Snort und IDS arbeiten so unsere DC-pfSensen auch. Das Setup ist also recht einfach zu realisieren. Da ich selbst Snort und Co noch nicht am Laufen habe, kann ich leider nichts dazu einstreuen, du solltest aber darauf achten, genug CPU und RAM Power übrig zu haben, da m.E.n. Snort recht RAM-lastig werden kann. Viele Grüße

Wenn du kurz ein paar Zeilen dazu schreiben könntest, wäre das sicherlich hilfreich. Dann muss nicht erst nachgefragt werden, wie du das gelöst hast :) Von meiner Warte aus würde ich sagen - sofern dein Diagramm stimmt - dass du da ein paar kleine Fehler drin hast, denn die LAN/DMZ Netze sollten überhaupt nicht mehr bei der Fritzbox ankommen, aber vielleicht ist das auch irreführend gezeichnet, da du pfSense und Alix einzeln einzeichnest? Im Prinzip wäre das Vorgehen sehr einfach zu lösen: Fritzbox bekommt nicht mehr die beiden .1er und .2er Netze, sondern nur noch eine IP aus einem "Transfernetz" zum WAN Port der ALIX zugewiesen. Bspw. FB: 192.168.168.1, AlixWAN: 192.168.168.2. Die Alix bekommt als Default GW die FB (192.168.168.1) In der FB wird eine komplette Weiterleitung aller eingehenden Pakete aktiviert auf die IP der AlixWAN: 192.168.168.2 Die beiden anderen Interfaces der ALIX (LAN, OPT1) werden für dein .1.x und .2.x Netz vorbereitet, die ALIX bekommt im jeweiligen Netz die .1 und ist das GW des Netzes (LAN/DMZ). Regeln anlegen auf LAN/DMZ damit LAN->DMZ und DMZ->LAN reden dürfen (sofern gewünscht) Outbound NAT der pfSense auf Advanced umschalten (damit die LAN Regel erzeugt und agezeigt wird). Die LAN Regel 1:1 für das DMZ Interface kopieren, damit LAN und DMZ Internet haben. Fertig, DMZ und LAN sollten Internet haben. Wird nun ein Portforwarding benötigt in die DMZ bspw., wird diese ganz normal auf der pfSense eingerichtet, da die FB einfach alles was hereinkommt komplett an die Alix weiterleitet. Läuft so bspw. hinter einer Kabel-FB oder auch einer DSL FB ohne Probleme. Die FB kann sogar selbst noch aus dem INet erreichbar gemacht werden (auf einem alternativem Port, da der SSL Port 443 von mir bspw. für OpenVPN oder für Management der pfsense genutzt wird) ohne dass es mit dem Restlichen NAT, PortForwarding oder sonstigem ein Problem gibt. Kommt leider etwas spät sorry ;) Grüße

Hallo JeGr, wenn mein DSL Anschluß ausfällt soll der Stick die Verbindung zum rest der Welt halten. Das funktioniert sogar schon sehr gut. Sobald ich das Modem Kabel aus der pfsense ziehe bin ich halt über 3G Online. MfG kaschuppke

Hallo, nach weiterem Probieren musste ich feststellen, dass dieses Problem von einem openVPN Client Tunnel ausgelöst wurde, nach abschalten von diesem klappte alles wieder.

Hallo Corny, das "user" hat an der Stelle nicht direkt die Bedeutung eines "Users", sondern bezieht sich eher darauf, dass die CPU tatsächlich etwas mit Prozessen aus dem Userspace zu tun hat und weder mit Interrupt Handling, noch Kernel Threads (system) oder (de)priorisierten (nice) Prozessen zu tun hat. Da auf der pfSense annähernd jeder Service als "root" läuft, würde die Anzeige also nichts bringen - er würde dir lediglich sagen, dass ca. 95% der Last durch "user" durch "root" erzeugt wird ;) Wenn du dir ansehen willst, welcher Prozess wirklich die CPU stresst, solltest du das besser mit bspw. 'top' erledigen. Entweder auf der Konsole oder via GUI. Grüße

Unterstützt wird PFS schon länger (ich glaube mich an 2.0 zu entsinnen). Wenn die Option ausgegraut ist, dass ist sie in dieser Kombination einfach nicht wählbar. Sprich sehr wahrscheinlich sind vorher Einstellungen gesetzt, die diese Schalter verhindern. Ansonsten hilft bei der Einrichtung vllt. http://blog.benca.net/2012/03/05/serving-ipsec-vpn-with-pfsense/ Allerdings - sieht man auch im Blog Eintrag - kann PFS und Co. unter anderem die Android Kompatibilität brechen. Grüße

@JeGr: @MgT Bei einer HD Installation ist es durchaus möglich, dass die pflogs gespeichert werden. Aber Nachtfalke hat recht, was embedded Systeme angeht, die werden meist nicht gespeichert sondern sind flüchtig. stimmt, sorry, daran habe ich gar nicht gedacht.

Hallo MgT, auch ich wollte mich an dieser Stelle für die super Tutorials / Videos von Dir bedanken! Würde mich auch über weitere, neue Video-Tutorials freuen.  ;) Viele Grüße!

sorry für die verspätete Antwort. Hatte noch ein paar wichtigere Sachen um die Ohren. Um hier das Problem als gelöst zu markieren hier die Antwort: In dem Modem von DLINK (DSL-321B) muss der Zugang nicht auf PPPoe stehen, sondern auf BRIGDED-Modus Dann kann man in der PFsense die Verbindung per PPPoe einrichten und das klappt sofort. Danke trotzdem fürs mitdenken.

Hab eine Lösung gefunden. :) Backup vom CaptivePortal erstellen. Folgende Zeilen fehlten im alten Backup: <captiveportal><test>Test <zoneid>8000</zoneid> . . .</test></captiveportal> Diese einfügen, abspeichern und das Backup wiederhrstellen. Kann jemand erklären was die Zoneid bedeutet? Diese lag beim Anlegen eines neuen CaptivPortal bei 8000. Grüße Schwabe

Also Server habe ich mal getauscht leider bleibt das Problem weiter bestehen. Noch Ideen?

Hey JeGr, ja ich habe an pfsense selbst einen factory reset durchgeführt. Gerade eben habe ich jetzt Version 2.1 installiert. Dann weise ich mit der autoconfig WAN und LAN den Ports hinzu. Beim zuweisen stecke ich dann jeweil ein Netzwerkkabel in den vorgesehenen Port und bestätige mit Enter. WAN bekommt per DHCP eine IP aus dem Bereich 192.168.2.0/24 und LAN ist ja standart mäßig 192.168.1.1 Dann loge ich mich auf der IP im 192.168.2.0/24 Bereich ein und führe den Wizard durch. Danach geht bei mir nichts mehr. Ich werde jetzt das ganze mit der LAN Schnittstelle versuchen vielleicht ist das schon der Fehler? Edit: 17:33Uhr 19:09.2013: Ich habe heute erneut versucht über den LAN-Anschluss auf die pfsense zu kommen. Alles ohne Erfolg. Nach dem dann nicht mal nach einem factory reset ein UP und DOWN der Netzwerkkarte angezegit wurde. Habe ich diese getauscht. Jetzt funktioniert alles reibungslos. Danke für eure Hilfestellung!

TCP Port 20/21 muss über eine Leitung gehen. Ports größer 1024 musst du nicht freigeben. Wir reden hier nur von ZIEL Ports. FTP-Helper ist - meines Wissens - nur nötig, wenn man im eigenen Netz einen FTP Server betreibt. Nach Änderungen solltest du die States zurücksetzen an der pfsense, damit nicht noch bestehende Verbindungen (States) verwendet werden.