Generell werden bei den WAN Interfaces auch gleich Gateways angelegt (DHCP und PPPoe) bzw. bei Static gibt man selbst das Gateway an.
Anschließend gehst du in den Firewall Rules auf dein LAN Interface. Mach ein Clone der "Default allow LAN IPv4" !!über!! der bestehenden! Dann editieren und folgende Werte ändern.

"Source": die IP deines Clients angeben
"Advanced Options - Gateway": das gewünschte WAN Gateway angeben, über welches er nach außen gehen soll

Erstmal vielen dank für deinen Antwort

Hmm.. Hab bereits befürchtet dass das nichts wird.  :-[ Muss nun sehen ob das mit dem Whitelisten noch was wird. Mein TV gibt seine Qeulle (IP) nicht an - wie so viele andere Clients in meinem Netz auch. Insofern kann ich mich zwar nach Firewall>pfBlockerNG>Alerts begeben, und zusehen was passiert, den Client jedoch nur erahnen da IF und Quelle als "Unknown" angezeigt werden. Davon abgesehen ist dieses Red Button Streaming Zeugs ohnehin heikel wie sau, und so wie es mir bisher scheint hat ProSiebenSat1 nicht bloß einen, sondern gleich ne ganze Tracking-Armee inklusive zwangs-Cookie im Aufgebot. Ziemlich hässlich das ganze.  :-\

Was wen ich gleich vorgehe wie bei der PS3/4? Stichwort NAT Mapping. Würde nichts bringen richtig?

Danke für die Hilfe. Werd ich gleich mal testen.
Ja auf der anderen Seite läuft Win openwrt gerät, dass eigentlich nicht Supportet wird.
Deshalb kann man nur beschränkt eingreifen. Und da ich in dem Thema auch nicht so fit bin,
Wollte ich das dann vermeiden.

Lg

Es ist ein reines Modem. Jedes Kabelmodem ist über die IP erreichbar. Muss es auch sein bei DOCSIS.

Ich habe Barnyard2 so eingerichtet dass er auf dem externen MySQL-Server die Logs schreibt.
Nun aber aus unersichtlichen Gründen bricht Barnyard immer wieder ab. Ich vermute, sobald ein Alert in Snort ausgelöst wurde.

Hat jemand damit Erfahrungen? Verwende ich vlt. veraltete MySQL-Tables für Barnyard?

Gestern Abend habe ich noch einmal auf gut Glück das Renew‘en probiert, daraufhin hieß es, es gäbe keine Issues zu den festgelegten Subdomains. Also Issue und schon lief alles durch, wie es sein sollte (musste auch nicht die TXT Einträge verändern). Das Datum des letzten Renews wurde entsprechend aktualisiert und auch unter dem Menüpunkt „Cert. Manager“ das Zertifikat erneuert.

Ähm, ich habe das jetzt nochmal durchgespielt - Renew geht nicht, Issue geht. Mein Fehler, hatte es wohl falsch in Erinnerung… steht ja auch da, dass im DNS Manual Mode das Renew nicht funktioniert und man auf Issue klicken muss ::)

Btw. hat jemand Interesse, dass ich ein How-to zum automatischen Importieren/Erneuern von LE Zertifikaten für den Unifi Controller (welcher auf der pfSense läuft) erstelle?

Ich betreibe den Mailserver im LAN mit der IP 176.21.x.x.

? Und dein LAN ist 176.21.x.y/24? Oder hast du ein privates Netz auf dem LAN und machst nur komische Sachen? ;)

Hierbei ist der WAN-Port der pfsense ein einfacher Client, der wiederrum per DHCP seine Adresse von der FritzBox bekommt (im Netz 192.168.178.x).

Das wäre das erste was ich NICHT machen würde. Vergib der pfSense eine fixe IP (.2 oder sowas, NICHT .254!) und lass sie über diese arbeiten.

Hat irgendjemand eine Idee, wie sowas zustande kommen kann? Kann es rein technisch sein, dass von der pfsense Pakete ausgehen, die einen Abbruch der Internetverbindung in der FritzBox hervorrufen?

Nein, wäre es so, wäre das Forum voll damit, da hier sehr viele hinter einem VDSL oder Kabelanschluß hängen und auch die Box vorgeschaltet haben (bspw. wegen Telefonie). Ist auch bei mir der Fall, daher definitives nein :) Es ist korrekt was Arthur schreibt, hauptsächlich macht die pfSense erstmal nix außer pingen im 500ms Rhythmus.

Wenn die Verbindung also abbricht, sollte man auf der pfSense mal schauen, was die so von sich gibt. Evtl. ist es gar kein wirkliches Verbindungsproblem sondern ein Service der hängt. Allerdings seltsam dass die FB dabei anscheinend sich neu startet. Tut sie das immer oder ist das nur einmalig passiert?

Grüße

evtl mal das CP komplett nochmal löschen von den Einstellungen und erstmal eine Zone anlegen, testen, die andere dazu (oder erstmal alleine testen) und dann beide zusammen? Mir kommt das so vor, als wäre da ggf. ein Voucher Sync aktiv der ständig im Kreis rennt?

@viragomann

Danke.
Ich habe es immer anders Herum probiert, wollte den Traffic immer blocken, was nicht funktioniert hast.
Nach deiner Anleitung geht es nun ohne Probleme.
Ich hab nun für beide GW eine Alias Gruppe und eine Rule angelegt.
Danke für den Schubs in die richtige Richtung.

Frohe Weihnachten

@W2K16:

Ich suche jedoch ne Karte, die auch stabil läuft!

Mit FreeBSD? Vergiss es, nimm wie gesagt einen externen AP.

Hallo,

die Frage von HornetX11, ob die erwarteten Pakete am WAN Interface deines Routers ankommen, wäre dennoch interessant zu klären.
Keine Ahnung, ob das zu überprüfen mit dem ASUS Router möglich ist. Wenn nicht, hänge anstatt diesem einen Rechner ans WAN und prüfe es mit Wireshark oder TCPDump oder Ähnlichem.

Sollte alles zu dir weitergeleitet werden, musst du die Pakete damit sehen können.

Die Einrichtung eines 1:1 NAT auf der pfSense erlaubt übrigens nicht automatisch die Weiterleitung. Dies muss durch Anlegen einer Firewall-Regel gesondert geschehen.

Grüße

Noch eine Frage.

Bei mir war IPv6 auf pfSense 2.4.2 aktiviert. Haben die anderen Unitymedia Kunden trotzdem irgendwelche Einstellungen für IPv6 unter Interface WAN, LAN, DHCPv6 Server & RA etc. vorgenommen?

Besten Dank im Voraus.

Edit:

Ich bekomme jetzt eine IPv6 IP über OpenVPN. Folgendes habe ich bis jetzt gemacht:

Unter Status/Interfaces/LAN Interface die IPv6 Adresse 2a02:xxx:xxxx:xxxx:: mit 4 Blöcken notiert Unter VPN/OpenVPN/Clients/IPv6 Tunnel Network "2a02:xxx:xxxx:xxxx::/64" eingetragen Firewall/Rules/LAN/IPv6 Regel/Gateway/VPNV6 ausgewählt Unter Firewall/NAT/Outbound zwei Regeln für das VPN Interface hinzugefügt und über dem Text "Source network for the outbound NAT mapping." "2a02:xxx:xxxx:xxxx::/64" eingetragen

Ich hoffe das ich IPv6 über OpenVPN soweit richtig konfiguriert habe. Leider war der Speed über IPv6 nicht schneller als über IPv4.

Edit:

Um auszuschließen das der Geschwindigkeitsverlust am Betriebssystem liegt, habe ich speedtest-cli nach dieser Anleitung auf pfSense getestet: https://got-tty.org/speedtest-wan-via-pfsense

Jetzt bekomme ich realistischere Ergebnisse. Der Download liegt zwischen 30-45 Mbit/s und der Upload zwischen 5-6 Mbit/s.

Also wird das Problem irgendwo an der PC-Konfiguration liegen. Den Speedtest habe ich in der Virtuellen Maschine mit Debian getestet. Auf dem Host läuft Windows7. Auf dem Host sowie Gast System habe ich die gleichen Speedergebnisse.

Wo sollte ich nach eurer Meinung das Problem suchen?

Grüße David

@viragomann:

Hallo,

freut mich, dass die Sache nun funktioniert.

Erzwungen wird die Verschlüsselung vom SMTP-Server, nicht von der pfSense. Dieser setzt eine verschlüsselte Verbindung voraus, wenn Auth-Daten übertragen werden. Die pfSense hält sich dann lediglich an die Spielregeln, und verlangt, dass des Zertifikat, dass ihr die SMTP-Server liefert, auch vertrauenswürdig sein muss, also von einer vertrauenswürdigen Zertifizierungsstelle stammt. Ansonsten könnte ja jeder ein passendes Zertifikat haben. Das SSL-Zertifikat ist als Personalausweis des Servers zu sehen.
Die pfSense sieht das eben nur etwas enger als die üblichen MUAs, die es oft auch erlauben ein beliebiges Zertifikat dauerhaft zu akzeptieren.

Grüße

Verstehe, dann wird das so hingenommen.  :D

Dann großen Dank an alle, die unterstützend mitgewirkt haben. Wieder was gelernt. ;D

Mike

Jo, hab Squid auf der PFSense aber wieder deinstalliert.

Ich befürchte, dass an den WLAN-AP's oder an den Switchen im VLAN irgend eine Einstellung oder ein Häkchen fehlt, denn direkt am LAN (ohne VLAN) hatten wir einen unkonfigurierten AP angeschlossen und bekamen von den 100MBit noch 30 angezeigt.

VG Horst

jaja, ich geb euch ja recht  8)

deshalb habe ich ja geschrieben, dass die FB NICHT per LAN1 noch "connected" werden darf (nicht erwähnt habe ich in dem Zusammenhang, dass sie bereits noch zusätzlich am LAN4-Port an einem anderen Switch hängt)….also JA, astreiner Loop und totaler Käse  ;)

aber nun ist alles bereinigt und es passt