wenn die Packages gar kein Bestandteil der eigentlichen Firewall sind, wundert mich das nicht mehr. ;)

Naja ich will es damit auch nicht "wegdiskutieren", aber es stecken hinter den Packages eben andere Maintainer als hinter dem Core. Teils leider nicht mehr aktive Leute, weshalb mit 2.3 auch viele Pakete erstmal im Nirvana hängen, von denen ich hoffe, dass sich jemand als Maintainer findet. Teils sind aber auch die Upstream Projekte inzwischen tot.

Naja, das Meckern ist ja kein eigentliches Mecker, nur ein Hinweis auf die Umstände, die mir nicht gefallen ^^

Deshalb auch mit ;) Augenzwinkern.

Der Openvpn Server müsste noch etwas erweitert werden (user log, anzeige, config export), dass habe ich aber vorgeschlagen bzw. mich an die existierenden Feature Requests drangehängt.

Was fehlt dir denn? User logins siehst du doch in den Logs? Config-Export in welcher Hinsicht (Client Config hat ein extra Package das das erledigt, ansonsten via System Backup?)

(Habe mir einen pfsense Boot Stick erstellt, der an der Firewall hängt und auf den regelmäßig die Config.xml kopiert wird. Im Fehlerfall dann stick ziehen und auf neuer Hardware installieren, Netzwerkkarten richtig Zuweisen, automatisches packages installieren, reboot und fertig ;)

Auch eine interessante Idee. Wir haben da was Skript-artiges gebastelt, was per SSH/SCP die config.xml und alle subversionen zyklisch runterlädt und gegen ein lokales GIT auto-committed, dann aber mit den Infos aus der pfSense, also wer was wann wie verändert hat. Damit haben wir quasi noch ein halbes Audit-Log dazubekommen.

Die Komplexität ein eigenes Package zu erstellen oder die Unmöglichkeit schnell eine eigene Seite reinzuhängen stört mich aber wirklich.

Mich manchmal schon, wenn ich mir denke, dass ich das gern machen würde aber es mich viel zu viel Zeit kosten wird ;)

Den Punkt mit der eigenen Seite verstehe ich allerdings noch nicht ganz :)

Grüße
Jens

@Markus: Wie in anderem Thread bereits geschrieben könnte man auch mit einem Server glücklich werden indem man besondere Clients einzeln eine fixe IP zuweist und den Rest dann einfach blockiert, aber das sei jedem selbst überlassen :)

@cartel:

Hey. Leider finde ich keine Anhaltspunkte warum ich für den VPN-Tunnel ein anderes Netz verwenden sollte. Warum nicht gleich in VLAN oder LAN? Was spricht dagegen?

Hallo … wie meinen ???
Welches Netz meinst du genau?
Oder fragst du wirklich warum das Netz das zwichen den Verbindungen genutzt und über das Internet geroutet wird ein anderes sein soll als dein lokales?
Welche VPN-Verbindungsart wählst du .... ?? und so vieles mehr was eine Antwort schwer macht.

LG

Hi Pippin,

Mit Zertifikats ID meinen Sie Common Name?

Korrekt.

Die Zertifikats ID muss mit dem Common Name übereinstimmen.

Grüße Philipp

Kann ebenfalls bestätigen das es NICHT zusammen funktioniert.

Wollte es zum Werbung blocken hernehmen was mit DNSBL für den Traffic welcher nicht über Squid läuft auch geht. Alles was über Squid läuft geht an pfBlocker vorbei. Habe jetzt als Workaround eine ADs Blacklist in Squid aktiviert und kann damit erstmal leben.

Hi zusammen,

hat denn keiner das Problem, nur bestimmte User bzw. Quell IP Adressen durch den clamav zu schicken?
Ich habe auch versucht, über den c-icap bestimmte IP Adressen zuzulassen, das funktioniert aber leider auch nicht.

Bei den ACLs kann ich auch keine ACL finden, die sich auf den Virenschutz bezieht.

Hat jemand vielleicht noch einen Tip für mich?

Vielen Dank!

Viele Grüße
Tino

@Artefakt:

Hi,

puh, die apu1d4 ist aber auf der Weboberfläche sehr träge nach dem Update auf 2.3.

Hätte ich nicht gedacht, dass es so langsam wird. Erinnert mich wieder an die Reaktionszeiten der Alix.
Ich hoffe, da kommt noch was nach…

https://forum.pfsense.org/index.php?topic=109763.msg611506#msg611506

Ich zitiere es ja ungern, aber

"Geht nicht!" ist keine valide Fehlerbeschreibung!

Damit ist niemand - nicht zuletzt dir selbst - geholfen. Da du nur LAN und OPT1 erwähnst, gehts wohl theoretisch nur um Freigaben lokaler Art und da sind - wie meine beiden Vorredner schon gesagt haben - die Firewall-Regeln der erste (und norm. einzige) Ansprechpartner. Wenn du nicht auf LAN und OPT das gleiche Netz hast, dazwischen irgendwelches komisches geNATte oder anderweitige abstruse Routings hast, ist das genau der Punkt den man konfiguriert.

Gruß

a) Default Block Logging abschalten
b) Eigene Regel anlegen und dort das Logging nicht einschalten

Geht beides, hängt aber von deiner Aufgabenstellung ab.

Wenn du mit Tunnelblick (über MAC wohl ;)) die Leistung schaffst, dann kann das auch ein ordentlicher Router mit genug Power. Das ist das einzige Kriterium, dass eben CPU/Acc/Codecs sowie NICs passen sollten. Dann wirst du auch ähnliche/gleiche Werte sehen. Wieso auch nicht? ;)

Wegen mir könnte man das auch über OpenVPN machen… wenn das geht?! (und das konnte ich bisher noch nicht ersehen)
Was konntest du noch nicht ersehen? Es gibt ja nun genug dutzend+1 Anleitung, wie man via OpenVPN Provider (oder eben deine eigene Maschine) allen Traffic vom Router an den Provider/via deinen Host ins Netz schickt. Dass das wesentlich einfacher via OpenVPN zu handhaben ist, liegt daran, dass das Setup via OpenVPN am Ende dir ein vollständiges Interface + Gateway + Regeltab in pfSense gibt, auf dem du alles nötige konfigurieren kannst bzw. dessen Gateway du eben in Regeln zum policy based routing verwenden kannst. Mit IPSec ist das zumindest meines Wissens nicht so ohne weiteres einfach möglich (weil da das Pseudo Interface fehlt). Ich gestehe aber gern ein, dass ich die Aufgabenstellung via IPSec noch nicht hatte, für sowas (vollverschlüsselten Traffic von A via B versenden) wurde in fast jeder Doku OpenVPN verwendet.

Grüße

Merci! Läuft wieder. Bisher hatte ich da noch nie Probleme, die Maschinen laufen schon einige Versionen lange…

Hier steht die Lösung :-X:

https://forum.pfsense.org/index.php?topic=105567.0

Henri
<><

Hallo JeGr,

vielen Dank für die Info.
Ich kann das aber nicht ganz nachvollziehen.
Leider sind die Zertifikate (mehrere 1000) schon alle erstellt und in der CA ist bisher nicht die URL für die crl hinterlegt.
Dass es funktioniert, kann ich mit Gewissheit sagen, weil ich es mit einem Ubuntu so realisiert habe. Nur leider klappt das so mit freeBSD anscheinend nicht.

Gibt es nicht eine andere Möglichkeit, die CRL zu benutzen?

Vielen Dank

Viele Grüße
Tino

Meine Custom Snort Config liegt in /conf
Sie hat dort zumindest das Update von 2.2.6 auf unzählige 2.3 Betas bis zur Final überlebt.

Kannst Recht haben. Auf der Fritte ist noch ein Fritz!Fon MT-D eingerichtet, welches im Sommer letzten Jahres seinen Dienst quittiert hat. Der AVM Support hat übrigens das gleiche erfragt.
Werde das Telefon aus der Konfiguration löschen und die Sache weiter beobachten.

Mike

@fork:

Nachdem klar war, dass es irgendein Problem mit dem auf dem produktiven Switch konfigurierten LACP gibt, habe ich einen kleinen 8-Port 'Netgear GS 108T' für LACP auf Port 1+2 konfiguriert. Damit funktionierte dann das LAN sofort!
Weil ich mich mit der Konfiguration von LACP auf dem produktiven Switch 'Foundry Networks FastIron FWS 624G' noch etwas schwer tue (bin kein Profi), habe ich etwas geschummelt und den Port 3 (Netgear) mit allen VLANs getagged konfiguriert und an den bislang für die pfsense vorgesehenen Port an dem 'Foundry'-Switch geklemmt.
Im Endeffekt habe ich jetzt zwei hintereinandergeschaltete Switches, wobei der erste (Netgear) LACP auf zwei Ports macht und über einen Port an den zweiten 'foundry' angeschlossen ist. Damit läuft es jetzt scheinbar rund.

Ja, ich weiß, dass das so noch Mist ist! Nächster Schritt sollte woll sein, LACP auf dem 'Foundry' sauber zu konfigurieren und die pfsense dann direkt dort redundant anzuschliessen.

Nur zur Vollständigkeit - die Konfiguration für LACP auf dem 'Foundry'-Switch sieht so aus:

switch3#configure terminal switch3(config-vlan-10)#interface ethernet 0/1/1 to 0/1/2 switch3(config-mif-0/1/1-0/1/2)#link-aggregate off switch3(config-mif-0/1/1-0/1/2)#link-aggregate configure key 10000 switch3(config-mif-0/1/1-0/1/2)#link-aggregate active switch3(config-mif-0/1/1-0/1/2)#exit switch3#show link-aggregate System ID: 001b.ed93.4b00 Long  timeout: 90, default: 90 Short timeout: 3, default: 3 Port  [Sys P] [Port P]  [ Key ] [Act][Tio][Agg][Syn][Col][Dis][Def][Exp][Ope] 0/1/1      1        1    10000  Yes  S  Agg  Syn  Col  Dis  Def  No  Dwn 0/1/2      1        1    10000  Yes  S  Agg  Syn  Col  Dis  Def  No  Dwn

Scheint prima zu funktionieren.
TNX

cu, fork

Hallo!

Habe das Problem gelöst, indem ich das DynDNS auf der FB deaktiviert habe und stattdessen in der pfsense eingetragen habe. Jetzt läuft sowohl der Tunnel als auch der Webzugriff.

Trotzdem danke an alle, die sich Gedanken gemacht haben!

Gruß
Kniffte09