Moin,

Bei VM Ware muss VLAN auf der entsprechenden physikalischen Netzwerkkarte konfiguriert werden.
Da es sich hier wohl um ein Heimprojekt handelt, gehe ich mal von einem ESXi 6x im kostenlosen Modus aus.

Schau bitte einmal unter Host -> Konfiguration -> Netzwerk -> Eigenschaften des vSwitches welcher die VLANS verarbeiten soll. Dort dann auf die Netzwerkkarte und Bearbeiten. Hier muss das VLAN definiert werden oder mit 4095 alle VLANs pauschal zulassen.

Vielleicht hilft es.

HornetX11

Danke für deine Erklärungen!

Nein, in der UI selbst ist nur die Größe konfigurierbar, das könnte man aber dann entsprechend der Größe usw. abschätzen, was ungefähr einen Monat entspräche. Erweitertes Logging würde sinnvoller am Besten über einen externen Loghost realisiert werden, der dann auch nach Wunsch konfigurierbar ist.

Dann bitte die OpenVPN Verbindungen unterschiedlich konfigurieren. Bei beiden muss ein Transfernetz angegeben werden aus dem du eine IP bekommst (10.0.8.0/24 bspw.).

Konfiguriere beide pfSensen auf .1 und .254 auf unterschiedliche Transfernetze, damit dein Client bei VPN zu .1 bspw. 10.1.8.0/24 und bei .254 dann 10.254.8.0/24 als Netz hat. Dann trage diese Netze umgekehrt als Route in die pfSense ein:

System/Routing/Static Routes

Hier dann auf der .1er Sense 10.254.8.0/24 auf 10.1.111.254 routen und umgekehrt auf der .254er das 10.1.8.0/24er Transfernetz auf 10.1.111.1 routen. Dann müsste egal über welches VPN du verbunden bist und egal welche der beiden als GW auf einem Client eingetragen ist, deine Pakete zurückkommen zu dir.

Eine ansonsten unschönere Version wäre den VPN Zugriff in dein LAN einfach zu NATten dass du mit der IP der Sense sprichst, auf der du eingewählt bist. Dazu müsstest du einen entsprechenden Outbound NAT Eintrag anlegen mit Source <transfernetz von="" openvpn="">zu Destination <lan netzwerk="">und auf LAN Interface die LAN IP mappen. Ist aber wie gesagt unschöner als einfach die Netze zu trennen und zu routen.

Grüße</lan></transfernetz>

Versuche ich nun aber, auf dem Smartphone unter dem "Brother Print Service" einen Drucker zu konfigurieren, wird kein Drucker gefunden.

Kannst du nicht die Drucker IP manuell eingeben? Oft funktioniert das (über Umwege). Liegt aber nicht / indirekt an den VLANs bzw. Apps, die aus "Faulheit" oft per Zeroconf oder Broadcast suchen und dann eben das Gerät da anderes Subnetz nicht finden können. Man kann dann aber oft manuell konfigurieren.

So ich habe freundlicherweise neue Hardware zum Testen in die Finger bekommen und hoffe innständig, dass ich die nächsten 2-3 Wochen dazu komme, die ordentlich zu testen. Mit dabei ist

1x NCA-1010 zum Re-Test
1x FW-7525B (meine eigene) zum Vergleich
1x FW-7525D zum Test
1x neues Gerät (das werde ich wohl erst ganz zuletzt testen können)

Grüße an alle

Extra AP ist ohnehin die bessere Lösung.
Funktioniert zwar auch problemlos mit USB WiFi. Damit ist allerdings bei 54 Mbit Schluss!

Herzlichen Dank für den Edit, das hilft vielleicht dem ein oder anderen bei der Suche weiter :)

Hast es schon mit NAT Reflection versucht? Das ist eben dafür da, um von intern mit der externen IP auf interne Hosts zuzugreifen, für die es eine NAT-Regel extern > intern gibt.
Wenn du Double-NAT hast, kannst du das aber auch vergessen. Dazu gab es leider bislang keine Antwort.

Ok, das Problem lag rein bei mir.
Ich hatte im esxi Fehler in der Konfiguration.

Hallo alex,

Ich bin davon ausgegangen, dass der Hostname im DHCP Handle enthalten ist. Kann ich das prüfen?

Wenn der Client seinen Namen mitschickt - was der Normalfall ist - dann ja. Ist das der Fall taucht der Client auch mit entsprechendem Namen in der Liste vergebener Leases auf (und als aktiv).

Muss ich das noch manuell konfigurieren?

Ja :) Es kann ja mehrere DHCP Ranges geben mit unterschiedlicher Nutzung.

Unter Services -> DHCP Server -> LAN "Other options" finde ich "Domain name"  - meinst du diesen Punkt?

Domain Name und die Domain Search List sollten auf den gewünschten Domainnamen (in diesem Fall home.domain.de) gesetzt sein. Das war btw. nur ein Beispiel und muss so nicht sein. Da ich aber eine recht kurze Domain dafür habe, war int.dom.ain verschmerzbar kurz und prägnant :)

Grüße
Jens

Stimmt hatte ich glatt übersehen. Da steht 10.4 nicht 10.2. Das kann also hinten wie vorne nicht sinnvoll in der DMZ ankommen.

Hallo,

du hast also 2x WAN (WAN1 & WAN2 der Einfachheit halber) und zwei lokale Netzwerke, LAN und OPT1.

Du hast per ausgehendem NAT gesagt, dass LAN1 mit der WAN1 IP nach außen auftritt und OPT1 mit der IP von WAN2.

Du willst nun von LAN1 auf die WAN2 IP zugreifen und aus Sicht der pfSense von außen kommen, wie bspw. von einem Smartphone was sich per LTE eingebunden hat?
Dann sollte das Thema NAT Reflection genau das "lösen":

https://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks

Grüße

Ich habe am LAN nur einen DHCP ipv4 Server aktiv der die Leases verteilt.

Ist für IPv6 egal, hier wäre DHCP6 zuständig oder SLAAC mit Autokonfiguration wenn es einen Router gibt der v6 spricht und das entsprechend annonciert.

Unter den Netzwerkeinstellungen hat mir das Aktivieren der Option "allow ipv6" und "ipv6 over ipv4" (was das IP-HTTPS Protokoll ja auch macht - Zitat: "transports IPv6 packets across non-IPv6 networks") inklusive der WAN Regel den Ipv6 Verkehr weiterzuleiten (zu Testzwecken) weitergeholfen.

Das ist wieder Unverständnis. Die Aussage ist lediglich, dass v6 Daten via Tunnel / DirectAccess eben weitergegeben werden. Das läuft aber dann DURCH den Tunnel und gar nicht mehr an der pfSense vorbei, ergo ist es entweder egal oder DA stellt die Verbindung per v6 her, dann MUSS deine pfSense v6 am WAN und LAN haben und konfiguriert haben. Nochmal: wenn die Sense KEIN v6 kann (auf WAN Seite) dann ist es komplett egal, was du mit irgendwelchen v6 Schaltern einstellst :) Die zitierten Schalter hier sind für völlig andere Zwecke. IPv6 erlauben ist per default immer an und sollte auch NICHT angefasst werden. Das wegnehmen setzt lediglich einen unsichtbaren BLOCK IPv6 ALL Filtereintrag mit dem man nix anfangen kann (IMHO) und daher ist der kontraproduktiv.
IPv6 über v4 WILLST du nicht. Entweder du hast v6 oder nicht. Einfach irgendeinen local private v6 Matsch via v4 NAT rauszuschieben bringt mehr Probleme als Lösungen. Entweder man fährt v6 (DualStack) oder nicht. Aber nicht irgendwas rumNATten, das führt genau zu solchen Problemen. Bei NAT von v6 in v4 wird zusätzlich der Header draufgesetzt, das Paket zu groß, muss fragmentiert werden, kommt dann in Größenprobleme wegen MTU etc. etc. - will keiner.

Gruß