Vielen Dank für die Antwort, ich konnte all meine Probleme nun lösen! Das Hauptproblem war der DLink Router hinter dem sich mein LAN mit allen Endgeräten befindet! Dieser hat eine NAT Firewall, mit der man zwar Ports weiterleiten kann, aber eben nur an bestimmte Adressen und nur diese Ports. Eine Anfrage nach einer LAN IP auf seine WAN Seite (also von pfsense kommend), ignoriert er, da er wohl sagt "du bist Internet und hast nichts in meinem LAN zu suchen, daher sage ich zu der LAN IP einfach garnichts". Auch Routing hatte nicht geholfen. Die Lösung für dieses Problem war, simpel wie logisch: nichts darf über die WAN Seite des DLinks kommen! Also habe ich pfSense an einen LAN Anschluss des Routers gehangen und DHCP im DLink deaktiviert. Danach habe ich erstmal alle Endgeräte ins gleiche Subnetz gebracht und IP's verteilt. Mit ein paar richtig gesetzten Firewallregeln konnte ich dann per VPN meine LAN IP's sämtlicher Geräte anpingen. Soweit, so gut. Nun wollte ich meine Netzwerkfreigaben auf dem iPhone oder anderen Rechnern per VPN sichtbar machen. Fehlanzeige. Die Hosts, bzw. Hostnamen werden wohl nicht einfach so mitgeschickt und an andere Interfaces geroutet. Ein WINS Server kam für mich nicht in Frage. Ich habe es kurz per push Befehl versucht, was jedoch keinen Erfolg gab. Des Rätsels Lösung zu diesem Problem war: ich muss Port 53 für DNS im gesamten LAN durchlassen, plus 135, 137-139, sowie 445. Ich dachte das wäre es jetzt, aber denkste. Der Verzweiflung nahe, habe ich mich nun auf den Server gestürzt und die Freigaben neu eingerichtet. Vorerst ohne Erfolg. Aus irgendeinem Grund, kam mir die Idee die Windowsfirewall zu checken und siehe da: die Datei und Druckerfreigabe war zwar in den Ausnahmen hinzugefügt, jedoch nicht auf meine nun neuen Netzwerke und Subnetze angepasst  :o. Die korrekte Anpassung derer, hatte dann auch den Erfolg, dass ich nun mittels VPN meine Hostnamen auflösen, auf LAN Adressen und Netzwerkfreigaben zugreifen kann! Ich hoffe ich konnte helfen, falls noch jemand das gleiche Problem hat/hatte.

Problem gelöst! Ich habe vergessen die Ports 500, 4500 und ESP als WAN Regel freizugeben! Nun geht es!

Folgendes könnte dir vielleicht weiter helfen: http://www.startssl.com/

Von Beginn an habe ich es an anderen Ports versucht und es hat keine Besserung gebracht. So auch jetzt. 17 Mbit/s mehr ist nicht drin. Zur Zeit fahre ich die Standard-Konfig.

Hi, wir haben es mit deinem ersten Vorschlag nun realisiert bekommen ! Vielen Dank für die schnelle Hilfe !

Das oben genannte Problem hat sich erledigt. Es lief eine DRDOS Attacke auf die DNS-Server des Providers mit einer meiner IPv6 IPs. Der Provider hat seine DNS-Server angepasst. Das Problem besteht aktuell nicht mehr. Thread kann geclosed werden.

Aus irgend einem komischen Grund, funktioniert bei mir das VPN nicht. Immer noch nicht! Ich hab alles 100 mal eingestellt und ueberprueft und probiert. Jetzt habe ich gefunden, dass es wohl noch ein Problem mit dem glxsb Treiber gibt. Also ausgemacht und naechste Fehlermeldung. Ich bin doch nicht der Einzige, der sein aktuelles Android an ein pfsense bindet, oder doch? Tut mir leid wenn ich mich gestresst lese, aber das bin ich auch! 1000 Baustellen und nichts funktioniert. Und ich finde die Loesungen einfach ums Verrecken nicht. Hat irgendjemand Hilfe? Apr 24 17:50:25 racoon: INFO: unsupported PF_KEY message REGISTER Apr 24 17:48:32 racoon: INFO: unsupported PF_KEY message REGISTER Apr 24 17:46:36 racoon: ERROR: give up to get IPsec-SA due to time up to wait. Apr 24 17:46:06 racoon: ERROR: pfkey ADD failed: Invalid argument Apr 24 17:46:06 racoon: ERROR: pfkey UPDATE failed: Invalid argument Ich weiss echt nicht mehr weiter! evtl. Danke!

Hi, die sollten alle funktionieren: https://shop.tronico.net/Wireless-Communication/WLAN-Module/

@Nachtfalke: Microsoft Security Essentials sind sicherlich nicht schlecht, aber nur ergänzend zu einem AntiViren Programm. Huch, wie kommst du denn auf das schmale Brett?  ??? Die MSE stehen den anderen Scannern in nichts nach, auch wenn ein Mal ein Test etwas schlechter ausfiel. Mehrere AV auf einem System ist ohnehin nicht sinnvoll. McAfee ePolicyOrchestrator ist für größere Umgebungeng genau das Richtige.

@bax2000: Genau! Unter System -> Advanced -> Miscellaneous Das sollte ich dann wohl noch aktivieren, oder? Gruß! Der default Gateway ist - soweit ich weiss - nur für die pfsense selbst wichtig. Wenn dieser ausfallen würde, dann könntest du zum Beispiel keine neuen Snapshots installieren oder keine Packages auflisten und installieren. Wenn ich mich recht entsinne kann diese Funktion im extremfall auch problematisch werden. Wenn alle WANs ausgefallen sind, switcht er eventuell auf die LAN Schnittstelle und da diese immer online ist, bleibt er dort "sitzen". Es kann aber gut sein, dass diesbezüglich schon nachgebessert wurde. Deswegen nur mal als Gedankenstütze.

@tommy2008: liebe pfsenserinnen und pfsenser ich brauche Hilfe - kein Gelaber ! Hallo Nachtfalke, deine Antwort impliziert dass du nicht in der Lage warst den Inhalt meiner Frage vollständig zu erfassen. "Komplette IP oder MAC freizuschalten ist keine Option." <<< Was könnte uns dieser Satz wohl versuchen zu vermitteln ??? liebe pfsense-rinnen und pfsense-r ich brauche Hilfe - kein Gelaber ! Gruss Tommy ;D Du brauchst Hilfe, so wird das nichts. Warum hast Du überhaupt ein Poll für dein Beitrag eingerichtet? Ich kann dir übrigens "pfSense: The Definitive Guide" empfehlen.

Sorry für die später Rückmeldung  ::) Die Gegenseite war schuld und hat getrennt, was aber nicht gleich ersichtlich war. Die Verbindung war rein SSH-Tunnel…

hallo nachtfalke… danke für deine Antwort in dem english topic... deutsch kann man schliessen, demfall

@tpf: Servus, das funktioniert aber nicht wenn der Eintrag ein einem Rule erzeugt wird, welches ganz oben steht, was hier der Fall war  ;) Daran hatte ich nur zu spät gedacht… stimmt, die  Reihenfolge ist entscheiden… bin ab und zu auch in die Falle getappt ^^.... wichtig z.B. auch bei ausgehender GW Wahl.

Ich habe einen Synthaxfehler unter "Squid Allowed ports" gefunden. Jetzt ist es mir möglich, SSH über HTTP zu machen. Gibt es einen Socks Proxy den ich der pfSense einfach hinzufügen kann? Ich habe ja nur Socks 4/5 zur Auswahl.

Wozu das Rad neu erfinden, wenn es ProxTube gibt?  ??? Und ja, du musst alle YT-Server statisch nach USA routen.

@julayach: wir machen das auch immer so…    - gute frage; an sich enthält das automatic outbound NAT schon solche Regeln mit zusätzlichen StickyPort Regeln für IPSec      (diese werden beim Umstellen auf manual dann angelegt, können aber soweit nicht benötigt komplett gelöscht werden). Wo finde ich diese Regeln wenn ich auf manual umschalte? Wir machen das auch immer so ^^ … Wo findest Du die manuellen Regeln ? ... das steht vom Vorredner schon in der Antwort (diese werden…) schon dabei ;) @tpf: interessantes Problem. Kann einer den Zusammenhang zwischen der Größe einer E-Mail und automatisch ausgehenden NAT-Regeln erläutern? Mir erschließt sich nämlich noch nicht so ganz, wo da das Problem ist. Den Zusammenhang kann ich auch nicht erkennen, dass muss ein zufällig auftretendes anderes Problem sein… Kleinere E-Mails werden definitv zugestellt? Vielleicht bricht irgendwie die Session ab und Du hast 3 MB große TCP Session Windows?/Buffering im Client aktiviert?

@Andreas: Hallo Reiner, vielen Dank für die Hilfe. Ich denke ich verstehe schon was Du meinst. Allerdings ist es ja wirklich so, dass die IP xxx.xxx.101.22 wirklich xxx.xxx.101.22 bleiben muss. Es darf also keine Übersetzung auf dem Weg von der WAN-Schnittstelle in die DMZ stattfinden. Nun denke ich, dies könnte evtl. über das Setzen von Routen stattfinden. Da bin ich mir aber nicht sicher. Vielleicht ist das ja auch der falsche Ansatz und es gibt eine bessere Lösung. na, das ist kein Problem… ich mach das bei uns auch so ^^ WAN  =>  GW1/GW2  =>  AS Netz als DMZ  =>  FW1/FW2  =>  LAN Netze Bei uns ist das aber ganz einfach gergelt, weil wir auf der WAN Seite ein Transfernetz /29 haben und das AS Netz ein /24 ist... Da ist "nichts" bei NAT/1:1 NAT/Outbound NAT eingetragen, wodurch es automatisch gerouted wird. Es mussten nur die passenden Firewall Regeln ergänzt werden, damit entsprechende IP/Dienste hinter den GWs erreichbar sind. Du schreibst aber … benötige daher nur zwei WAN-Schnittstellen zur Internet-Anbindung zweier DSL-Provider... und dass du ein … Auf die WAN Verbindung laufen feste IP's, also zum Beispiel xxx.xxx.101.22/28. hast… Daher muss ich erstmal davon ausgehen, dass Du wie schon geschrieben: Daher wurde LAN in DMZ umbenannt und diverse 1:1 NAT Verbindungen und Regeln eingetragen. 1:1 NAT nutzen musst… denn Du kannst nicht das WAN Netz auf WAN und DMZ Seite einrichten und routen... Das einzige was noch gehen würde, ist auf den vorderen Firewalls den Brige Modus zu nutzen http://forum.pfsense.org/index.php?topic=30653.0 http://doc.pfsense.org/index.php/Interface_Bridges .. es gibt da nette Tutorials, finde sie gerade nur nicht wieder...

Das Zyxel VMG132-B30A kann ich auch nur wärmstens empfehlen. Hab jetzt erst wieder 5 Stück verbaut. 2 x T-Online VDSL, 2 x Buisness VDSL, 1 x 1und1 und keine Probleme! Vielleicht sollte man noch darauf Hinweisen das Zyxel auch ein Forum hat, dort sind meist aktuellere Firmwares und man kann Probleme direkt klären.