OK. Hat sich erledigt. Hab die Lösung hier gefunden:
https://forum.pfsense.org/index.php/topic,48947.msg269592.html#msg269592

Lüppt so einwandfrei !!

Anbei die Config.


@jahonix:

@genesis_mp:

Dann einfach beide Switches mit normalen LAN Kabel verbinden … So zumindest die Theorie, die Praxis muss sich die nächsten Tage zeigen.

Den morgendlichen Kaffe im Büro zu kochen ist schwieriger, als 2 drömelige Layer2-Switche miteinander zu verbinden. Echt jetzt!

Das habe ich mir schon zu oft gedacht ;) und das Szenario pfsense + Netgear + 2. Netgear mit Trunk hatte ich noch nicht, deshalb frag ich einfach. Alles easy 8)

Hatte Urlaub  ;D

auch nochmal eine gute Erklärung:

http://opensourceforu.com/2016/08/configuring-pfsense-dual-wan-failover-mode/

funktioniert bei mir einwandfrei mit Captive Portal und SQUID

Hat alles geklappt, der Dienstleister hatte falsche IPs.

Danke!

@groovesurfer:

Mein Problem ist, dass ich leider VLAN 1 nehmen muss (anderes Setup verlangt es).

VLAN1 ist default in eigentlich allen Geräten und lässt sich nur schwer oder gar nicht ändern oder entfernen. Auch bei Cisco.
Daher ist die erste VLAN-Regel immer: nutze VLAN1 für nichts anderes als gar nichts.
Verhaue denjenigen, der Dir VLAN1 in einem Setup vorschreibt.

Andererseits sollte es trotzdem funktionieren, wenn Du alle Einstellungen richtig vorgenommen hast.
Das Tutorial scheint auf den ersten Blick korrekt zu sein, zumindest der pfSense Teil.
Der Cisco VLAN part ist an einigen Stellen nicht ganz vollständig.

Gib mal an der Switch-Console ein:
  show vlan
und poste die Ausgabe.

@DCG:

… www.bla1.de via ftp verbinden moechte, ...

Ich hatte nur auf Deine 3 Beispiele  www.bla1.de  etc geschaut und die Protokolle überlesen.
Für verschiedene Web-Server sollte haproxy gut funktioniert.
Die Unterscheidung nach Protokoll (ftp, mail, …) machst Du einfach über das NAT.
Dann geht http zu server1 und ftp zu server2, mail mit den diversen ports auf server3.

Ich habe noch eine extra Regel:

Adress Familiy:  ipv4

Protocol: ICMP

ICMP type:  any

Bin mir nicht sicher warum ich die zusätzlich drin hab… versuchs mal.

Das hast Du falsch verstanden. Viragomanm meinte wohl, dass Du der Gruppe ( und damit den in der gleichnamigen Gruppe im AD enthaltenen Usern )  im User-Manager bei Groups unter "Assigned Privileges" Zugriff auf die entsprechenden CP-Seiten geben musst.

Hier kurz meine Erfahrung:

Zollabwicklung -> EORI-Nummer in Dresden beantragen;
Hardware wurde von Netgate per FEDEX schnell geliefert;

aber

Mainboard war mit zu kleinen Schrauben im Gehäuse befestigt und hat sich während dem Transport gelöst;
Schrauben und Mainboard lagen lose in dem Gehäuse;

Beschwerde bei Netgate ergab:
"kommt öfters vor"
sind bereit das Gerät "kostenfrei" umzutauschen, ich solle aber noch testen, ob dies wirklich notwendig sei

Ergebnis:
Systemhardware für ca. 1000 EUR sollte schon perfekt ausgeliefert werden;
Abwicklung via ZOLL und mögliche Rückabwicklung erzeugt Kosten;

Empfehlung:
besser in Deutschland kaufen.

@jahonix:

Welchen Durchsatz kann Deine Internet-Anbindung bereitstellen?
Erwartest Du viel (oder überhaupt) Traffic zwischen den Netzsegmenten?

Wenn Du genug Interfaces an der pfSense für dedizierte Segmente hast und Switchports auch reichlich zur Verfügung stehen, dann mache es physikalisch getrennt. Damit schaffst Du Dir auch keinen Flaschenhals, wenn Traffic einen Trunk zweimal durchläuft (von einem Segment ins Nächste).
Wenn Du aber sowieso nur upstream auf eine VDSL Leitung oder so konzentrierst, dann wäre das ziemlich wurscht.

Unüberschaubar oder schlecht zu managen ist eine VLAN Lösung nicht, man muss ggf. einmal mehr nachdenken, bevor man Einstellungen ändert.
Wenn Du mit gescheiten AccessPoints mehrere SSIDs ausstrahlen willst, dann kommst Du fast nicht um einen Trunk zum AP herum, und dann taggst Du sowieso schon. Dann kann man das auch gleich konsistent überall machen.
Ferner lässt sich ein Management VLAN einrichten, auf dem man (nur) die Hardware administriert. Das funktioniert mit physikalischer Verteilung nur eingeschränkt und/oder mit großem Aufwand, wenn überhaupt.

Vielen Dank Chris; ich werde es zunächst physisch getrennt lassen und iterativ, mit dem Kauf VLAN-fähiger Switches und den "steigenden" Anforderungen mich ins Thema VLAN wagen… (zumindest eine Bridge an einem dd-wrt-AP mit zwei physischen Kabeln und zwei SSID habe ich schon hingekriegt).

Beste Grüsse
Nikolaus T.

Hat sich erledigt.

Hallo!

@fuxz:

Wie sollte der Cronjob korrekt hinterlegt werden?

Installiere dir das Cron-Paket. Dann findest du einen Cron-Eintrag im Services-Menü.

Hi,

du bist ja sicher schon auf https://forum.pfsense.org/index.php?topic=110259.msg653273#msg653273 gestoßen. Damit hat sich dein Vorhaben bis auf Weiteres geerdet.

Als Modem geht der Vigor 130 und ein APU1d, wobei die Verschlüsselungsleistung evtl zu gering ist (keine HW Verschlüsselung). Da gibt es evtl bessere Tipps.

Gruß
pfadmin

Da ich nun auf der. Vormerkliste für FTTH 1Gbit/s stehe, muss ich mir vermutlich bald was neues einfallen lassen  :)

Warum? Wie gesagt der C27xx ist toll. Nur für max. Leistung nicht der Avoton, der ist eben für Server und Virt. gedacht, sondern der Rangeley, der ist mit QuickAssist für genau das konzipiert. Deshalb unterscheidet Intel den ja auch. Und da gerade pfSense + FreeBSD mit Intel an QuickAssist Support gearbeitet haben, passt das wie Faust auf Auge.

Zudem gab es schon Tweets, dass ein 2758er mit AES-GCM via IPSEC fast auf Linespeed VPN schafft (also Gigabit). Sehe daher nicht, dass du da upgraden müsstest von der Kiste, wenn aber doch lege ich dir als Step-Up den Xeon-D von Supermicro ans Herz. Verkaufen wir auch für viele Kunden und die sind happy-as-can-be mit der Kiste, zumal die 6 NICs Gigabit + 2 NICs 10Ge + IPMI mitbringt. Großartiges Ding!

http://www.supermicro.com/products/system/1U/5018/SYS-5018D-FN8T.cfm

Und ja wir verkaufen die u.a. auch :P Darf man ja erwähnen. Läuft toll das Ding und (ein großes) Plus: Das IPMI ist nicht Java/Flash only, sondern hat sogar ne ordentliche HTML5 Console! :O :D

@Spitzbube:

Es soll was können und mich vor Angriffen bewahren. Hatte nämlich im Mai diesen Jahres einen, bei dem ich die Konsequenzen erst gestern erfahren durfte.

Darfst du dazu mehr sagen? Angriffe "bewahren" ist vage. Wenn damit DDOS gemeint ist - nichts schützt davor. Außer Stecker ziehen - aber das ist ja schon implizit.

450 Mbit Up und Down 20MBit

Könnte das evtl mehr werden? Was möchtest du evtl. noch als Zusatzpakete einsetzen? (IDS/IPS, Proxy, etc.)? Sind wir ggf. im Firmenumfeld? Spielt also evtl. Garantie ne Rolle (3-5 Jahre?)

Wenn du dazu noch was sagen könntest, wäre das toll. Wenn eines oder mehrere davon zutreffen, würde ich persönlich eher den Step up zu was größerem machen und nicht mit einer APU2 anfangen. Der ein oder andere hier hat ja nun auch schon eine 7525 wie man in der Signatur lesen kann und bislang hab ich davon nur Lobreden gehört. Zudem hat die 7525-D mit 6 Interfaces schon viel Möglichkeiten auch noch zu wachsen oder später größere Setups zu handeln (CARP Cluster mit zweitem Gerät etc.)

Grüße

Ja, wie man ein Interface anlegt und so - das wusste ich schon. Ich war nur irritiert, ob ich nicht evtl. noch sonstige Einstellungen unter Rules oder sonst wo tätigen muss. Aber das ist mittlerweile erledigt. Nun zum Thema mit Multicast…

Danke für den Tipp mit IGMP Proxy. Das hat mich jetzt leider nicht weitergebracht (habe alle möglichen Varianten ausprobiert). Danach bin ich auf die Erweiterung Avahi für die pfSense gestoßen, welche ja wohl genau das tun soll - alle Multicasts auf allen bzw. ausgewählten Interfaces verfügbar machen.
Also habe ich das Package installiert und ausprobiert, aber auch dieses bringt mich keinen Schritt weiter. Leider nach wie vor nichts über das OpenVPN Interface verfügbar.
Generell scheint das Package aber seinen Dienst vorbildlich zu verrichten. Habe heute einen VLAN eingerichtet und von dort konnte ich problemlos solche Dienste wie Airprint oder Airplay erreichen, bis ich das entsprechende VLAN-Interface unter Avahi ausgeschlossen habe (warum läuft es eigentlich nach dem Ausschlussprinzip? :-).

Idee, was ich noch versuchen könnte?

Bei mir läuft der UniFi Controller sogar nur auf einem Rapsberry PI.
Zumal das Ding nicht immer laufen muss.
Man kann damit die Access Points konfigurieren und braucht den dann nicht mehr zwingend.
Schön ist es aber wegen Statistik und so.