Kannst du auf der Console der pfSense via SSH/Shell folgendes ausführen:

/etc/rc.update_bogons.sh 0

und dann

pfctl -o basic -f /tmp/rules.debug

mal testen, ob er die Regeln dann laden kann?

Grüße

Auch mit der Subnetzmakse einfach /32 das ist ein Netz mit nur einer IP also z.B. 192.168.10.10/32 wäre nur die IP 192.168.10.10

@hsrtreml:

Hallo, bin gerade am verzweifeln:

Habe auf OPT1 und OPT2 je ein CP am laufen. Rules sind so definiert, dass kein Zugriff aufs LAN möglich ist
Starte ich nun Squid im transparenten Mode werden Zugriffe von den CPs (OPT1 und OPT2) auf LAN (Port 80) möglich!

Was mache in falsch?  Im LAN-Interface ist Port für pfense auf 11xxx umgeleitet und somit Anti-Lockout 11xxx, 80 eingetragen.

Vielleicht hat jemand ein Tipp?

Treml

Habe gerade im Forum erfahren, dass SQUID im "transparent mode" und Capitve Portal nicht funktioniert!!!

Du mußt das Firmware "…ADI..." von der PFSENSE-Downloadseite (nur für registrierte Kunden) nehmen; da kannst du das Board  (SG 4860, etc.) während der Installation auswählen. Dann müßten die Zuordnungen passen.

Grus HSRTreml

So, Netzwerkumgebung aufgebaut und als gut befunden.

Danke nochmal an alle Helfer.

Es läuft jetzt.

Colt routet tatsächlich das Netz richtig zu uns. Ich kann einfach einem Port der Appliance die Gateway IP geben, NAT abschalten und dann an diesem Port einen Switch mit allen öffentlich erreichbaren Servern betreiben.

NAT Static Port klappt nur wenn du hinter eine WAN Adresse nur ein VOIP Gerät hast.
Static NAT bedeutet ja das der Port nach extern nicht verändert wird. Da VOIP Endgeräte des selben Herstellers meist auch den selben Port verwenden geht das beim zweiten Telefon schon schief da der Port ja schon auf dem WAN Interface verwendet wird.

Kannst du von so einen Stun Request vielleicht mal einen Wireshark Trace hochladen. Wüsste nicht was da jetzt flasch sein sollte.
Der Stun sagt ja nur welche IP und welchen Port er sieht. Wüsste nicht wie das Telefon beurteilen kann ob das stimmt oder nicht.

Danke, dann versuche ich das. Ich bräuchte z.B. auch einen Filter, über den ich das IPv6 Logging ein-/ausschalten kann.
Ist blöd handzuhaben, wenn man speziell was sucht. Entweder ist alles stumm oder man wird mit Einträgen totgeworfen…

@Bluebrain:

@athurdent:

Default Gateway Switching findest Du unter System -> Advanced -> Miscellaneous bei Load Balancing.

VIELEN DANK!  :-*
Ich glaube, das war der Grund!
Zufällig ist gerade eben wieder mein KabelDeutschland bzw. Vodafone WAN (Fritzbox) kurz ausgefallen, und er hat wieder nicht zurück gewechselt, als es wieder online war.
Nach Aktivierung der von Dir genannten Option, hat er dann aber sofort zurück gewechselt.

Auf der Suche nach einer Problemlösung habe ich auch nochmal howtos im Netz angeschaut bzw. Dual-WAN with failover, aber auf diese Option wurde nicht hingewiesen.

Flush all states when a gateway goes down" aktiviert?

Gern :)
State Killing habe ich aus, das brauche ich nicht. Ist z.B. für VoIP interessant, damit die UDP States beim Gatewayausfall nicht ins Leere zeigen. Das VoIP Gerät baut so nach einiger Zeit seine Verbindung über das funktionierende WAN GW auf.
State Killing ist mir auch immer im Weg, weil es (zumindest vor einiger Zeit) immer alle States getötet hat und nicht nur die vom ausgefallenen Gateway. Wenn die Leitung flappt, kommst Du kaum noch auf die pfSense, da sie Dir auch die Management HTTP/SSH States killt. Das kann man eigentlich recht elegant mit no-state Rules lösen, aber ein entsprechendes Redmine Tickt von mir wurde seinerzeit kommentarlos abgelehnt.

@Bluebrain:

@athurdent:

Ich hab vor meinen WANs jeweils auch immer ne FritzBox, wenn man die pfSense IPs als Exposed Host deklariert, dann klappt das eigentlich prima. Und hat den Vorteil, dass man sich auch eine HA Config bauen kann, ohne dafür Public IPs zu benötigen. Doppel NAT hat man ebenfalls nicht zwingend, die FB können ja IP Routing.

Ja, so habe ich es eh auch gemacht, in der Fritz den pfsense Router als Exposed Host angegeben und klappt auch soweit.
Trotzdem habe ich es lieber so einfach wie möglich, sprich nur ein simples, dummes Kabel-Modem.
Seit der FritzBox habe ich irgendwie auch häufiger kurze Ausfälle, als zuvor mit dem Cisco Modem. Ein solches wollte mit Vodafone aber nicht geben und auch nicht freischalten. Einer dümmer als der andere dort und jeder erzählt dir was anderes!

Ich hatte vor einiger Zeit auch noch ein Cisco Modem von Unitymedia, die 200er Leitung war monatelang stabil damit. Nach Tausch auf die Fritzbox 6490 war die 400er Leitung ständig am flattern, das wurde dann etwas besser mit nem Firmware Upgrade. Weg ist es immer noch nicht (alle paar Tage mal T3 Timeout und lost MDD Timeout, wenns zu lange dauert auch inkl. Pingverlust und Failover). Die Fritzbox hat ausserdem eine schlechtere Latenz (Ping von 5 ms auf 12 gestiegen) und die RTTsd ist auch viel höher. Bei ca 10k States macht sie schon die Biege. Meine 7490 am DSL Anschluss steckt das locker weg, die 6490 ist irgendwie die schlechteste FritzBox die ich je hatte…

Hi,

Also gehe in die Outbound NAT Konfig und stelle den Modus auf hybrid oder manuell, falls er auf Automic steht.

Danke an Euch beide. Das war es, Modus Hybrid, NAT-Regel hinzugefügt und funktioniert.
Gruß orcape

So, habs verstanden und es lüppt ;)

Aber um das Thema hier zu ende zu bringen,  gibt es noch eine Erläuterung. Da ich schon in vielen Themen immer nur lese, verstanden, ohne das der Lösungsansatz offen gelegt und mir das natürlich überhaupt nicht weiter geholfen hat.

Auf dem Switch nach dem 802.1Q Standard die VLAN ID's aus der PFSense eingetragen zugeordnet, einmal den Port für das VLAN untagged und dazu noch den Ulink Port als tagged.

In meinem Fall ein Netgear GS108Ev3 - 8-Port Gigabit ProSAFE Plus Switch

Port 1 als Uplink auf LAN (Hinterlegtes Interface für das VLAN in der PFSense)
Port 2 als Service Port
Port 3 VLAN 1
Port 4 VLAN 2
Port 5 VLAN 3
Port 6 VLAN 4
Port 7 disabled
Port 8 disabled

Im Menu VLAN > 802.1Q > Advanced  Habe ich die VLAN ID hinterlegt, den VLAN ID's die Ports zugewiesen. Einmal den Uplink zur PfSense, Port1 tagged und einmal den Port auf dem ich welches VLAN betreiben möchte.
Reboot und fertig ist der Lack.

Merci flix87 für den Denkanstoß ;)

@thomas_h:

… für das Routing von vielleicht 30 Laptops, Tablets u.ä. sollte leistungsmäßig eine alte Möhre reichen.

Für Routing und Captive Portal schon, jedoch macht es mehr Probleme als Freude, mit einem (USB) Stick WLAN für 30 Geräte zu machen. Speziell unter FreeBSD, was nicht gerade für seine WLAN Fähigkeiten bekannt ist.

Nutze hinter dem CP der pfSense lieber einen gescheiten AccessPoint.
Ich mag die Geräte von Ruckus dafür (gern auch gebraucht von eBay, zB Ruckus 7372), andere hier im Forum schwören vor allem wegen des Preises auf Ubiquity. Das ist auf jeden Fall besser als ein USB Stick, der nicht als AP sondern für den Zugang durch einen einzelnen Host zum AP konzipiert wurde.

Update hat problemlos geklappt. Super Arbeit!!

Gruß!

Leider hat es sich doch als pfSense bzw. irgendwo Konfig-Fehler meinerseits herausgestellt.
Ich habe das ganze Konstrukt erst mal abgeschaltet und werde es diese Tage genau analysieren wo ich ein Denk- und Umsetzungsfehler gemacht habe.

Keine Ahnung wie Du das machst  :-, aber ich mache das mit OpenVPN, sowohl meine beiden Dauertunnel zu anderen System als auch Handyzugriff für mich.

-teddy

Nachtrag:

Hab das jetzt genau so versucht, Fritzbox aus dem re1 ins re2 (vlan10) gehängt und genau das gleiche.. Anrufe kommen zwar an und gehen raus aber kein Ton weder von der einen noch von der anderen Seite.

Das check ich nich. Hab die IP der Fritz auch auf die VLAN10 IP geändert und eigentlich sollte der rest mittels hybrid outbound geregelt werden.

Jemand ne Ahnung woran das liegen könnte?

Ich würde 3. empfehlen das sagen auch viele.
Ich hatte auch mal WLAN in der PfSense drin und bin umgestiegen.
Die PfSense kann viele Dinge toll Router, Firewall und VPN z.B. aber WLAN eben nicht. Daher lieber was externes nehmen hast du mehr Spaß dran.

So habe es soweit so eingestellt, allerdings merkt man immernoch Geschwindigkeitsschwankungen, was auch die Aussetzer bei der Telefonie verantworten könnte. Bzw. es klingt so als würde Paket in Reihenfolge 1 2 3 4 5 6 7 8 geschickt werden und kommt an als 1 3 2 4 5 8 7 und das alle ca alle 8-10 Sekunden.

Für Windows kenne ich keinen aber man könnte es etwas von hinten durch die Brust ins Auge machen.
Auf dem Windows PC VmWare Player installiere da eine PfSense rein und dann so wie dma gesagt hatte.