Hi,

sorry hab`s gefunden, ich hatte vor längerem in den Sicherheitseinstellungen des NAS die Zugriffe auf bestimmte IP Bereiche eingeschränkt!

Die Virtuelle IP des OpenVPN war natürlich da nicht dabei ;-), hab jetzt aus Verzweiflung alles nochmal akribisch durchgeschaut und da is es mir aufgefallen!

Grüße

Thomas

Klar, das ist ein Switch Problem.
Unterm Strich wurdest Du/Ihr also sagen, ob ich nun 2 phsikalisch getrennte Interfaces oder einen Trunk Port bei der Verbindung pfSense - Switch nehme ist sicherheitstechnisch das selbe. Da der User über einen Access Point verbunden wird, der ja auch beide VLAN Infos hat und auch an einem Trunkport hängt.

Alle clients bekommen diese richtig zugeteilt.

Clients via DHCP sicher. Die Firewall kennt sich selbst ja aber nicht via DHCP.

Das ist was ich noch nicht verstehe wo diese Problem her kommt?

Habe ich geschrieben. DNS. NICHT DHCP. Du hast ja nicht geschrieben was du überhaupt noch laufen hast auf der Box insofern kann dir auch keiner sagen, welche Komponente es war. Mutmaßlich wohl der DNS Resolver den man hätte neustarten können. Oder der DNS Forwarder.

Grüße

OT²

der Omti 5528 war bei mir im Einsatz, später auch ALF Autoboot mit Kickstart 1.3 8)

-teddy

Danke euch beiden! Ja, die Unifi AP's kann man echt gut einrichten und vor allem bieten sie auch wirklich viele Einstellungsmöglichkeiten, mit denen man sehr gut seine Vorstellungen umsetzen kann (im Gegensatz zur z.B. eierlegenden Wollmilchsau - der FritzBox, mit der ich mein Vorhaben zum Gastnetzwerk vergessen konnte…).

Man kann halt wohl bis zu 4 SSID's erstellen und diese bei Bedarf als Gastnetzwerk (mit Zugriffsbeschränkungen und Geschwindigkeitsreduzierungen) über VLAN einrichten. Ich habe es zunächst auch im AP eingerichtet, wollte es später aber lieber alles in der pfSense zentralisiert haben und deswegen den Hacken bei Gastnetzwerk rausgenommen. Jetzt wieder gesetzt, aber alle anderen Einstellungen gelöscht (das, was nun die pfSense übernimmt) und schon läuft es, wie es soll - die Geräte sehen sich untereinander nicht mehr und es werden auch bspw. keine Bonjour Broadcasts von fremden Geräten mehr empfangen.

Eine Frage zum pfSense Traffic Shaper / Limiter hätte ich in dem Zusammenhang aber noch:
Ich habe 2 Limiter in / out eingerichtet und entsprechend bei der pass-Regel angewendet. Danach laden manche Seiten (ich glaube meist https) aber quälend langsam.
Bei manchen bleibt die Seite weiß und wird erst nach über 20 Sekunden auf einmal komplett geladen, bei anderen wird ein Teil "vorgeladen" und nach einer gewissen Zeit zu Ende geladen (habe jetzt sogar über 1 Minute nachgemessen). Der Speedtest braucht auch erst einige Sekunden Anlaufzeit, zeigt dann aber die richtigen Werte an (wie im Limiter festgelegt).

Hat jemand eine Idee, was die Ursache für so ein Verhalten sein kann?

"mit vernünftigen Support?"

Was ist denn "vernünftiger Support" für dich? Und was soll der Umfassen? Ein Support für die Boards (auch Hardware Ebene) besteht ja durchaus bei PCengines selbst - oder eben beim Versender. An der Software-Front ist das ja aber was anderes. Wenn man es nicht als Bundle erwirbt, ist Software Support eine zweite Baustelle :)

Was in dem Fall ja nochmal sinnbefreit von Varia war, denn auf die Idee, dass vielleicht gar keine mSATA drin ist… naja. :D

Das sollte mit den Angaben eigentlich recht problemlos machbar sein. Die 10 Netze als VLANs über ein SFP+/DA/Fiber zum Switch zu legen, ist durch die zentrale Konfiguration auf der pfSense dann durchaus sinnvoll. Andernfalls wäre die Alternative das mit einem Core Konzept zu bauen, dann brauchst du aber intelligente Switche und meist sind die Regeln dort "ekliger" anzulegen und zu verwalten als alles auf der pfSense zu haben.

Grüße

FWIW: Support für Padlock ist aus den meisten Zweigen und anderem Krams rausgeflogen. Zum einen gibts sinnvollere CryptoAccs (und padlock ist jetzt schon durchaus alt/älter), zum anderen gab es erhebliche Zweifel an der Sicherheit im Nachgang zum NSA Debakel wie sich gezeigt hatte. Deshalb verschwand das m.W.n. auch sukzessive aus den Distros.

http://arstechnica.com/security/2013/12/we-cannot-trust-intel-and-vias-chip-based-crypto-freebsd-developers-say/
https://wiki.freebsd.org/201309DevSummit/Security

sind die Links die ich spontan dazu gefunden hatte aus dem engl. Forum.

Auch wenn Du schon bestellt hast falls mal hier reinstolpert:
https://bsdrp.net/documentation/examples/forwarding_performance_lab_of_a_pc_engines_apu2

-teddy

@Parsec:

Versuche mal folgende zusatzeinstellungen auf dem WAN interface

Keine Änderung :

2a03:2260:10:25:6e62:6dff:fe3d:4ace 6c:62:6d:3d:4a:ce (Micro-Star INT'L) WAN
fe80::6e62:6dff:fe3d:4ace%re0 6c:62:6d:3d:4a:ce (Micro-Star INT'L) WAN
fe80::d00d:6bff:feae:f07c%re0 04:af:fb:05:02:06 WAN
fe80::215:17ff:febc:ffc2%em3 00:15:17:bc:ff:c2 (Intel Corporate) WLAN3
fe80::215:17ff:febc:ffc3%em2 00:15:17:bc:ff:c3 (Intel Corporate) WLAN2
fe80::215:17ff:febc:ffc0%em1 00:15:17:bc:ff:c0 (Intel Corporate) WLAN1
fe80::1:1%em0 00:15:17:bc:ff:c1 (Intel Corporate) INTERN

Trail and Error hat zum Erfolg geführt.
Problem war, dass in der WAN-Interface-Konfiguration "Request a IPv6 prefix/information through the IPv4 connectivity link" aktiviert war. Hat bisher allerdings problemlos funktioniert. Wie dem auch sei, jetzt bekommen alle Geräte wieder wir gehabt ihre v6-Adressen.

Hallo,

ich glaube das Problem liegt in der wpad-config.

Versuch mal diese:

function FindProxyForURL(url, host) {   if (isInNet(myIpAddress(), "172.50.0.0", "255.255.254.0")) {       return "10.10.11.1:800";   }   else if (isInNet(myIpAddress(), "172.10.0.0", "255.255.0.0")) {       return "PROXY 172.10.10.1:800";   }   else {       return "DIRECT";   } }

Ein nützliches Tool zum Testen ist übringens PAC Magic.

LG Lars

Hallo,

dies funktioniert mit BIND (findest du im Paket-Manager). Wenn du fragen hast, kannst du dich gerne an mich wenden.

LG Lars

OK. Hat sich erledigt. Hab die Lösung hier gefunden:
https://forum.pfsense.org/index.php/topic,48947.msg269592.html#msg269592

Lüppt so einwandfrei !!

Anbei die Config.


@jahonix:

@genesis_mp:

Dann einfach beide Switches mit normalen LAN Kabel verbinden … So zumindest die Theorie, die Praxis muss sich die nächsten Tage zeigen.

Den morgendlichen Kaffe im Büro zu kochen ist schwieriger, als 2 drömelige Layer2-Switche miteinander zu verbinden. Echt jetzt!

Das habe ich mir schon zu oft gedacht ;) und das Szenario pfsense + Netgear + 2. Netgear mit Trunk hatte ich noch nicht, deshalb frag ich einfach. Alles easy 8)

Hatte Urlaub  ;D