Vielen lieben Dank für die schnelle ANtwort.
Und nein, hab ich noch nicht. Aber gleich. Danke. ;) >:(

Hallo,
bin immer noch auf der Suche nach einer Virenscanner-Möglichkeit ohne Squid auf der pfsense (oder sonstwie zentral). Mir gefällt mein Setup (policy based routing für die Clients) gut, möchte aber nicht nur auf den Clients nach Viren suchen.
Hat noch jemand einen Tipp für mich?

Danke und Gruß,
Joe

Klingt logisch. Jedenfalls teilweise.

Meine Denke war, ich habe einige Prozesse auf der pfSense laufen, wie mehrere OpenVPN Server, Suricata, ntopng oder den Webserver, die allesamt wieder in mehreren Threads laufen können, und da sollte HT was bringen. Ja, aber die meisten dieser sind eh ständig im Idle-Mode.

Letzten Endes kann es wohl eh nur jeder für sich durch Benchmarks herausfinden, was die optimale Einstellung ist.

Danke für die Erläuterung.

Nunja die andere Frage ist, warum ich einen nachgeschalteten AP oder Router überhaupt eine dynamische IP vergeben will. Im Zweifelsfall will ich den ja schnell erreichen können zur Fehlersuche und eben nicht erst rumkaspern, welche IP er gerade hat!?

Deshalb lassen Netzwerker meist die ersten oder letzten IPs des Netzes für Netzwerkgeräte frei (Switches, Firewalls, Router, APs oder sonstiges) und definieren ansonsten Bereiche oder DHCP Ranges für den Rest. Alles andere gibt auf Dauer Chaos :)

Evtl. auf der Console bitte mal prüfen ob

Sollte 1) nicht existieren, mal ein "touch /etc/bogonsv6" machen und dann unter den Advanced Options die Bogon Aktualisierungsrate auf 1 Tag statt einen Monat setzen.
Anschließend mal ein

/etc/rc.update_bogons.sh 1

ausführen. Das sollte die Bogons aktualisieren und die Fehlermeldung mit der rules.debug sollte verschwinden.

Grüße

Habs gefunden,

Im Squid Reverse Proxy Menü [General] gibt es den Punkt "Intermediate CA" und dort muss man den Inhalt des Intermediate Zertifikat Authority X3 von Letsencrypt hinein kopieren.

Nun will auch Android mit dem Zertifikat spielen und alles ist gut.

Gruß
Rubinho

Doch hatte es zu erst mit Gateway Gruppen probiert da ging aber kein Traffic Flow durch wenn ich nicht den State Check komplett mit disabled habe, was ich prinzipiell ungünstig finde für ne statefull Firewall. Mit OSPF hab ich jetzt zusätzlich die Möglichkeit noch schön weitere Wege dynamisch hinzuzufügen ohne großen Stress, zum Beispiel das Ding komplett via OVPN zu meshen. Vor allem hab ich noch dienhoffnung das ich die OSPF Routen noch via IPSEC durch bekomme und auf der anderen Seite an der bereits vorhandenen SSG zu terminieren anstatt noch ne zusätzliche Hardware pfsense zu bauen nur für die failover Geschichte. Jedenfalls spielt es jetzt so wunderbar und ich bin flexibler.

Dazu konnte der Anbieter uns aber keinen Vor-Ort-Service für die Hardware anbieten, sondern nur einen Bring-In-Service.

Autsch

Das hätte 2 x exklusive Appliances des Anbieters erfordert. Da wir zum damaligen Zeitpunkt mindestens 6 NW-Anschlüsse benötigten, hätte jede Appliance rund 2500€ gekostet (vLAN's waren zu deiesem Zeitpunkt keine Option für uns).

Doppel-Aua. Für 2500€ x2 wäre NBD (next business day) Replacement das Mindeste gewesen… :/

Das Charmante beim Einsatz einer FW als VM ist, dass die vLAN-Verwaltung komplett unter VMWare abläuft. Die UTM selbst bekommt für jedes neue Netz einen virtuellen NIC dazu den die UTM natürlich als 'echten' NIC sieht.

SCNR: Auch nur so lange lustig, wie man das vCenter nicht wechseln will, dann sind dSwitche plötzlich was verdammt doofes und man ist froh, wenn man es nicht via VLANs in VMware, sondern Trunk in die VM und dort als VM gelöst hat :D Ist aber eher VMware Bullshit ;)

Wie viele NIC's müsste ein VM-Hosts haben?

Naja ganz realistisch müsste man dann sehen, wie viele VMs bspw. über den VMware internen Bus die Kiste bedienen kann - was also überhaupt nicht wirklich durch echtes Netzwerk sondern nur intern über virtualisierte Stacks läuft - und wieviel sie dann tatsächlich rausgeben muss ;) Und ob das dann intern via 10G noch ein großes Thema ist, müsste man gesondert betrachten :)

Da würde ich eher zu 2 dedizierten HW-Appliances greifen. Gerade auch unter pfsense.

Richtig, da kann man dank Hardware Angebot auch durchaus was finden, was NBD mit an Bord hat und man trotzdem als Appliance Art behandeln kann :)

Da man die Konfiguration INKL. Pakete exportieren können SOLL, wird das natürlich im XML gespeichert. Aber meines Wissens gibt es keinen Import von Zonen, nein.

Grüße

Zum einen gibt es bei VNC auch crypto-Plugins. Also ist es prinzipiell möglich, auch auf 5800 verschlüsselt zu kommunizieren. Wie sicher das ist, weiß ich natürlich nicht, hatte sowas selber meist getunnelt per SSH oder VPN.

Und, wie JeGr schreibt, ist VNC per default schlecht bei geringer Bandbreite oder hoher Latenz. Da performen RDP oder andere Tools wie TeamViewer oder Webex deutlich besser.

VNC kann aber getunt werden - falls du die Möglichkeit dazu hast. Ich verrate dir, was ich nach langem Rumprobieren herausgefunden habe. :) Benutze "Tight" oder "Jpeg" als Einstellung, das hat bei mir schonmal die gefühlte Verbindungsqualität um den Faktor 5 verbessert. Das war fast schon alles.. aber natürlich kann man hier noch probieren. Am Ende war es fast so brauchbar wie RDP, was wiederum von TeamViewer leicht geschlagen wird. Es gibt dann eben leichte Artefakte im Bild.

Ich habe zwar keine direkte Lösung für dein Problem, aber als Besitzer eines Lightify-Gateways und einer Philips Hue-Bridge kann ich dir nur empfehlen, eine Hue-Bridge zuzulegen.

Die Bridge hat zwar kein Wlan, aber das sehe ich eher als Vorteil an und ist wirklich einfach einzurichten, vorallem auch ohne Cloudzwang.
Ich hab schon Stunden meines Lebens verschwendet, um das drecks Lightify-Gateway in ein anderes Wlan zu verpflanzen. Irgendwann gings dann immer, warum weiß ich bis heute nicht.

@xidendt:

… damit wird es ein wenig übersichtlicher

Na, den letzten Eintrag sollte man auch ohne grep finden, sonst wirds Zeit für Gang zu Augenarzt  ;D

-teddy

@peroni5:

Vielleicht kann noch jemand erklären, diese Zusammenhänge: Source (Quelle), Dest (Ziel), NAT (Übersetzer) Adresse/Netz/Port

Source, wo es her kommt (Internet)
Ziel, wo es hin soll (Server)

NAT lauscht an WAN welche Ports auf den Server weiter geleitet werden sollen und reicht diese weiter, das trifft zu wenn du NAT / Port Forwarding nimmst.

Adresse ist die Adresse der jeweiligen Schnittstelle, so wie ich es verstanden habe. Netz und Port ist soweit klar. Warum muss man bei NAT  u.U. 4!!!!! Quellen angeben (IF, Quelle, ZIel, NAT)?  :o

Wann gibt man nur die Schnittstellen-IP an?

Das geht glaube ich bei NAT 1:1

Ich habe nur Port Forwarding eingerichtet auf meinen Server, schließlich will ich nicht alle Dienste vom Internet erreichen.
Ich habe z.B. FTP mit einer Port Range und SSH mit nur einem Port weiter geleitet, Samba nciht, da dieser Dienst nur Internen genutzt wird. Leite ich alles was auf WAN ankommt kann ich mir eigentlich die Firewall sparen.

Funktioniert die Seite auf anderen Browsern? Wie sieht es auf Mobilgeräten aus? Verwendest Du die Originalseite von PFSense?

Habe IE und Firefox getestet IE ohne Probleme Firefox zickt halt rum.
Mobilegeräte habe ich derzeit nicht in der Testumgebung.
Ich verwende derzeit die Orginalseite.

@JeGr:

Sollte, weil momentan die Implementation von OpenVPN 2.4 in pfSense 2.4 noch ein wenig hakelt. Aber hier wird es kurzfristig wohl bald mehr Performance geben :)

Wo genau hakt es denn und was kann behoben werden, damit die Perfomance besser wird?

Konnte leider die Firewall noch nicht umbauen um das Problem mit dem pfsync Interface zu testen.

Was mir gestern "erst" aufgefallen ist, dass mein Upload extrem langsam ist.
Habe eine 50/50 Leitung und bekomme höchsten 50/15 hin.

CPU Auslastung ist sehr niedrig, habe unter System > Advanced > Network folgende Eingenschaften disabled:
-Disable hardware TCP segmentation offload
-Disable hardware large receive offload
-Disable hardware checksum offload

Traffic Shaping habe ich bis jetzt nie eingerichtet und auf dem WAN interface habe ich auch schon mit den Duplex Eigenschaften herumgetestet, keine Verbesserung.

https://doc.pfsense.org/index.php/Low_Throughput_Troubleshooting

Collisionen oder in/out Errors auf dem WAN Interface habe ich auch keine.
Was mich ein wenig verwirrt ist das der Downloadspeed einwandfrei ist, nur der Upload nicht.
Das kann nicht wirklich eine Interface Fehler sein oder? (Treiber, etc?)

Gruss DarkMasta

Gerade nochmal verifiziert: sobald du einen Dienst bei DynDNS einträgst, bekommst du auch von den Notifications eine Benachrichtigung bei einem IP Wechsel.

Hallo zusammen,

Vielen Dank für eure Hilfe Lösung gefunden.

Es waren mehrere Einstellungen falsch.
Neuinstallation und dann Stück für Stück Testen hat das Ziel nun erreicht.

Hi, wie wäre es, wenn du zunächst mal ganz klassisch bei 192.168.0.0/24 bleibst. Viel kann man nämlich nicht falsch machen bei einer frischen pfsense.

Gruß
pfadmin