Hallo an alle

ich hab das Problem gelöst

zum einen
ich hab dem LAN eine feste IP zugewiesen

zum anderen
ich hab das Modem ausgeschaltet und die pfsense
dann hab ich das Modem eingeschaltet und dann die pfsense

jetzt funktioniert es

danke Sebastian

MfG
Timm

@renegade:

…das nicht funktionierende ip zuweisen durch den vigor dhcp...

Ich würde nicht davon ausgehen, dass das Gerät im Bridge-Modus überhaupt DHCP macht. In dem Fall braucht das da kein Mensch mehr.

Am besten deine pfSense Box in deinem O² Router eine feste IP vergeben und in die DMZ setzen (Falls möglich).
Dann kannst du über deine O² Router noch telefonieren und die Firewall, Portforwarding etc ausschließlich mit pfSense betreiben.

Habe ich hier schon so seit einiger Zeit mit meinem Modemrouter von Unitymedia laufen (Auch deshalb weil ich nur darüber telefonieren kann).
Funktioniert soweit tadellos…

So, tut jetzt! Aufnahmen werden vom Programm Manager übertragen. :)

Es lag wohl an meiner igmpproxy Konfiguration.

Für die Konfig gibt es scheinbar zwei Dinge, die man grundsätzlich beachten muss:

Die Netze, die auf VLAN8 per DHCP propagiert werden

Das Netz 193.158.34.0/23[br/](/23 weil mittlerweile Adressen sowohl in 193.158.34.0/24 als auch in 193.158.35.0/24) kontaktiert werden

Siehe auch https://forum.pfsense.org/index.php?topic=72200.msg400646#msg400646

Der DHCP Client auf VLAN8 liefert bei mir so etwas (möglicherweise regional unterschiedlich):

Mar 20 20:05:07 pfSense dhclient: New Classless Static Routes (bge0_vlan8):  193.158.132.189/32 10.37.255.254 87.141.128.0/17 10.37.255.254 217.237.157.0/24 10.37.255.254 217.237.158.0/24 10.37.255.254 217.239.36.0/24 10.37.255.254

Damit ergibt sich für mein Netz folgende igmpproxy.conf:

##------------------------------------------------------ ## Enable Quickleave mode (Sends Leave instantly) ##------------------------------------------------------ quickleave # upstream / Telekom Netze phyint bge0_vlan8 upstream ratelimit 0 threshold 1 altnet 193.158.132.189/32 altnet 87.141.128.0/17 altnet 217.237.157.0/24 altnet 217.237.158.0/24 altnet 217.239.36.0/24 altnet 193.158.34.0/23 # downstream / eigene Netze phyint igb2 downstream ratelimit 0 threshold 1 altnet 192.168.11.0/24 # Receiver net phyint igb0 downstream ratelimit 0 threshold 1 altnet 10.0.15.0/24 # net for VLC player phyint pppoe0 disabled phyint igb1 disabled phyint igb3 disabled phyint bge0 disabled phyint bridge0 disabled

Da liegt der Hase im Pfeffer…

Ich kann die Firewall nicht deaktivieren. Das Menü unter der Beta sieht doch deutlich anders aus.
Da muss ich wohl ein Downgrade vornehmen. Vielen Dank für die Info und Screenshot.

Edit: Hab doch bemerkt, dass es den von Euch beschriebenen Modus in der Combobox gibt. Ich hatte immer den neueren ShortCut gewählt gehabt (Internet über vorhandenes LAN), der nicht so flexibel ist. Nun lüppt es :)
Danke nochmal an Euch!

fritz1.JPG
fritz1.JPG_thumb
fritz2.JPG
fritz2.JPG_thumb

Ich würde es eher nicht empfehlen, da selbst der aktuelle Draft noch auf 2.1(?) basiert und das Buch selbst noch auf Stand 2.0/Anfang 2.1 steht. Gerade was die Themen VPN, HA, CARP und Co angeht ist das etwas überholte Information.

Ein Ping auf "hostxyz.domain" funktioniert nun.

Sehr fein :)

Also nur ping "hostxyz" ohne die Angabe der Domain.

Das ist eigentlich nichts IPSEC-spezifisches, sondern DNS/DHCP. Wenn du als DNS Domain bspw. domain.local auf den Clients konfiguriert hast bzw. per DHCP pushst, dann wird ein call auf hostxyz erst mit hostxyz und dann mit hostxyz.domain.local versucht werden. Zusätzlich kann man das im DNS Forwarder / Resolver normalerweise noch konfigurieren, was mit "nur Hostname empfangen" gemacht wird bzw. ob er es selbst versucht aus der DHCP Liste o.ä. aufzulösen.

@Teddie

So sieht das im Prinzip hier auch aus, Erziehung, aber mit klarer Grenzziehung. Und der WLAN Zugang hängt an einer Funksteckdose, die schalte ich ggf. einfach ab, wenn kein Internet für die Hausaufgaben gebraucht wird.

@Tee

Eigentlich einfach: Hast du die default allow any/any  Regel im LAN? Dann kannst du die einfach mit einem Schedule versehen, fertig.

Komplizierter ist es, wenn du eine BLOCK rule mit einem Schedule versehen willst, dann solltes du zusätzlich mit Cron eine Minute nach dem Block alle States killen, um wirklich für Ruhe im Netz zu sorgen. Sonst kann die Party die ganze Nacht weitergehen… :-D

Ich habe diese BLOCK rules für verschiedene Nutzergruppen mit verschiedenen Nutzungszeiten und auch schon deshalb, weil ich keine allow any/any Regel habe, sondern generell nur sehr eingeschränkt Dienste (Ports) von LAN her freischalte, ggf auch nur für einzelne IPs.

Kompliziert ist es nicht wirklich, wenn du dich mal mit der pfsense angefreundet hast.

@2chemlud:

Mach mal den "prefer to use IPv4 even if  IPv6 is available" Haken raus

Tatsächlich habe ich den heute in der früh nach dem erneuten Disconnect erst hinzugefügt.. Ich würde da gerne erst mal die Resultate beobachten.

Vielen Dank :)

Werde ich heute mal probieren :)

@JeGr:

Da du von der pfSense selbst keinerlei Konfiguration gepostet hast, kann man darüber auch nur spekulieren. Du hast ja noch nicht einmal geschrieben wie die pfSense selbst fürs Internet konfiguriert ist (außer dass du einen zwiten Zugang bekommen hast) und ob und welche Regeln, NAT etc. dafür eingerichtet sind. Insofern ist es auch müßig zu spekulieren, weil einfach nicht genug Info vorliegen um eine qualifizierte Schätzung abzugegen. Zudem ist mir noch nicht klar, was du für dein Testlaptop wo verändert hast. Am zentralen DHCP (.0.2) irgendwas am Lease für den Laptop speziell geändert? Was kommt beim Laptop an? Wie ist die Konfiguration? Was sagt der Laptop auf der Kommandozeile?

Gruß

Ja, du hast recht.
Also zusätzlich zu den oben schon genannten Informationen kommen noch ein paar hinzu:
Ich arbeite hier in einer Schule und wir haben als Server einen SLES11 SP3 mit einem "Schulaufsatz", sodass dieser eher an uns gerichet ist, auch unteranderem mit gleich für Schulen gesetzten Einstellungen.
Hier habe ich so genannten "Räume" definiert, welches einfach DHCP-Pools sind wo per default auch einsetllungen schon gleich gesetzt werden. In einem dieser "Räume" habe ich mein Laptop hinzugefügt und nur eben für dieses noch eine option "router" mit hinzugefügt. Dieses kommt auch richtig am Laptop an, so wie eben definiert. Ich kann das sowohl am LAN als auch am WLAN setzen. Die IP-Adressen sind den MAC-Adressen zugeordnet, sodass es da auch keine verwechselung geben kann.

Der Zweite Anschluss ist ein T@School Anschluss. "normale" Zugangsdaten usw.
Bzgl der PFSense habe ich nichts im hinblick auf die Firewall definiert, also soltlen noch die Standardeinstellungen gelten.

Was meinst du mit "was kommt am Laptop an?" soll ich die mal hier posten?

In der PFsense habe ich im Bereich "Routing" den Eintrag vom WAN_PPOE mit den Bezeichnungen vom Gateway drin. Das scheinen wohl auch die default einstellungen zu sein, da ich diese nicht gesetzt habe.
Im System:General Setup habe ich den DNS-Server 8.8.8.8 gesetzt und das Gateway von dem T@school zugang. Des Weiteren ist noch der Punkt aktiviert "Allow DNS server list to be overwritten….".

Brauchst du noch informationen?

Hallo Teddy,

Ist das alles was in den Logs steht? Ich vermute eher mal das sund error Logs und nicht Access Logs. Die sind laut deinem Bild nicht an, aber das heißt ja nicht, dass der Squid keine Errorlogs produziert?
Ansonsten schauen ob man die abschalten kann bzw. das Problem mit dem ICMPv6 loswerden.

Grüße

@genesis_mp:

Der Ping und Port Test hat ja auf der Backup FW funktioniert, auf der Primary PFSense eben nicht. Obwohl ja die FW Regeln von der FW1 auf die FW2 übertragen werden deshalb verstehe ich das nicht…

Mit Quelle LAN Interface IP oder LAN CARP VIP dürfte er auf der Backup-FW gar nicht funktionieren, nur mit Quelle = Default (die FW selbst) oder WAN address.
Und wenn es auf der Master-pfSense mit Quelle = LAN IP nicht funktioniert, müssten die LAN-Host auch ein Problem haben, mit Hosts im WAN zu kommunizieren.

Da ist also einiges seltsam, aber ohne genaue Informationen, lässt sich das nicht klären.

hat hier keiner eine Idee ?

Hast du den apinger Dienst laufen? Falls ja, solltest du ihn entweder ausschalten oder in den PfSense Einstellungen die "Skip rule when gateway is down" Option ausschalten. Da er sonst die Regel mit dem OVPN Gateway überspringt falls mal das OVPN Gateway down ist und dann versucht über das normale Gateway rauszugehen. Ist aber auch noch mal detaliert in dieser Anleitung beschrieben https://www.infotechwerx.com/blog/Policy-Routing-Certain-Traffic-Through-OpenVPN-Client-Connection

Gruß

Ich bin mir zwar die ganz sicher aber ich würde im Reverse Proxy Server mal den Reiter "Redirect" anschauen da könnte so was vielleicht mir gehen.
Hab ich aber selbst noch nicht gemacht.