Hi!

Hab mal einige Versionen rumprobiert. Mit der 2.1.5 klappt es wieder ohne manuelle Portauswahl und ich kann ein Update direkt zur 2.2.6 machen.

Thema hat sich also erstmal erledigt.

Danke!

Danke viragoman,

also Batterie hatte ich vorher geprüft und das BIOS eingestellt, geprüft.
Deswegen und wegen eigenartiger Lüfterschwankungen und HDD-LED Aktivitäten und einschlägiger
Erfahrungen auf anderen Rechnern bin ich extrem vorsichtig.

Deswegen noch 2 Fragen.

Ist eine Laufzeit Überwachung von Diensten vorhanden oder möglich, ebenso Veränderungen an Logfiles.
Ich habe gehört, es gibt eine Möglichkeit zwei pfsense sich gegenseitig zu überwachen. Geht sowas?

Danke soweit!

Hi,

die Übernachtung kommt auf jeden Fall dazu in Frankfurt, das ist richtig.
Verpflegung ist tagsüber dabei, also Snacks, Getränke und Mittagessen.

Die Veranstaltung ist in Englisch.
Wir von Voleatech sind zu zweit auch dabei, um zu vermitteln und zu übersetzen.
Aber alle Übungen und das Material sind auf Englisch.

Viele Grüße
Sven

Hi,

ich fürchte an der Konfiguration passt so einiges nicht.

@holzenky:

Die Kabelverbindung ist an der Fritzbox für Management / Internetverbindung. Aktuell mein LAN.

Du has die FB, also die Upstream-Verbindung, an die LAN-Schnittstelle angeschlossen??  :o
Geht grundsätzlich schon, aber warum macht einer so etwas? Damit "vergewaltigst" du ja die pfSense und hast mehr Konfigurationsaufwand.
Verbinde die FB mit dem WAN-Interface, bzw. mache deine Kabel-Schnittstelle zum WAN am Interfaces-Tab. Achte aber darauf, dass du in der Schnittstellen-Konfig den Haken bei "Block private networks" entfernst.

@holzenky:

Sowohl LAN (192.168.178.200), als auch OPT1 (192.168.178.201) haben eine fixe IP, keiner hat ein Upstream Gateway.

Ich nehme an, das ist ein /24er Subnetz, dann liegen beide Schnittstellen im selben Subnetz. Ein No-go, auch wenn es grundsätzlich funktionieren könnte.

@holzenky:

Aber unter System->Routing->Gateways habe ich ein Default Gateway auf die Fritzbox (192.168.178.1) für das Interface OPT1 eingetragen.

Das Interface, das in der Gateway-Konfig eingestellt wird, ist das, über welches das Gateway zu erreichen ist. Die Gateway IP muss innerhalb des am Interface konfigurierten Subnetzes liegen.

@holzenky:

Unter System->General Setup habe ich die Fritzbox und 8.8.8.8 als DNS Server (mit dem OPT1 Gateway) eingetragen.

Selber Fehler. Hier wird das Gateway angegeben, über welchen der DNS zu erreichen ist, sofern er nicht über das Default-Gateway erreichbar ist.

@holzenky:

Auf OPT1 habe ich noch einen DHCP Server für das selbe Subnetz, aber der Range überschneidet sich nicht mit dem Fritzbox-DHCP.

Dass sich DHCP-Bereiche nicht überschneiden sollten, ist dir aber schon klar, oder? Wenn du am OPT1 ein eigenes Subnetz hast, erübrigt sich das aber ohnehin.

@holzenky:

Unter Interfaces->Assign->Bridges habe ich eine Bridge für die Interfaces LAN und OPT1 eingetragen (aber die Bridge nicht als eigenes Interface hinzugefügt).

Wenn du die beiden Interfaces brückst, dürfen nicht beide eine IP haben. Aber was macht eine Bridge ohne eigenes Interface für einen Sinn.
Der übliche Weg ist, die Schnittstellen nur zu aktivieren, keine IP vergeben, diese brücken, aus der Bridge ein Interface machen und dieses konfigurieren.

Grüße

Ich weiss. Entschuldige für die Aufregung, aber ich habe mich wie gefühlt wie als stehe ich mitten im Wald und weiss den Weg nicht raus.
Jetzt habe ich aber einen Weg gefunden!  ;D
Jetzt haben beide PIs Internetzugang. Ich kann Mails versenden. Ping geht auch. Und apt-get funktioniert auch.
Aus der DMZ kann ich auch keine Geräte an pingen.

Zwei "Dinge" habe ich dazu gebraucht:

I. Die PIs auf DHCP umgestellt.

II. https://doc.pfsense.org/index.php/Example_basic_configuration

| DMZ Configuration

Allow TCP/UDP from DMZ subnet to DMZ Address port 53 for DNS from the firewall
    Allow TCP from DMZ subnet to DMZ address port 443 for accessing the GUI (optional)
    Allow ICMP from DMZ subnet to DMZ address to ping the firewall from the DMZ
    Allow any traffic required from DMZ to LAN (if any)
    Reject Any from DMZ subnet to RFC1918 – Do not allow DMZ to reach LAN or other private networks
    Allow Any from DMZ subnet to any -- Internet access rule

|

So sehen meine Regeln jetzt aus -> Bild

Jetzt klappt auch alles, so weit ich das jetzt sehen kann!  ;D

Vielen Dank für deine Hilfe!
Grüße


Anbei mal den Trace auf dem WAN Port von pfsense

Kann das 6. Paket ein Problem sein für pfsense?
Weil da ist der wan port down gegangen

capture.pcapng

Also: ich hänge mit meinem PC an zwei Netzwerken (über 2 Netzkarten): einmal im Firmennetz, da ist ein Proxy für die Webseiten fürs Intranet vorhanden, und einmal ins Internet eben über pfSense. Im Brwoser schalte ich einfach per ProxySwitcher um, über welchen Proxy ich gehen will.
Oder kennst du eine bessere Methode, wie ich pro Anwendung entscheiden kann, ob sie ins Intranet oder ins Intranet geht?

Vielen Dank!

Lösung gefunden. Im englischen Teil des Forums hat Jemand mit seinem ios Gerät ein gleichwertiges Problem gehabt.

Ein Hinweis ergab sich daraus das Phase 1 mit Port 500 ja funktioniert und es lediglich an Phase 2 port 4500 haperte.

Unter Firewall > Nat > Outbound muss eine Regel ergänzt werden. Sie muss identisch mit der Standard Regel sein die für Port 500 schon existiert, natürlich aber mit Port 4500.

Ging auf Anhieb und ohne die im Änderungen in der Filter.inc die im englischen Beitrag verlinkt wurde.

Den findet man übrigens hier : https://forum.pfsense.org/index.php?topic=103503.15

Grüße

Hi,

du meinst dieses Log ?

Gruß Matthias

PS: die IP Adressen wurden anonymisiert

filter.log.txt

Soweit ich weiß, ja. Beim Booten scannt das System den PCI-Bus und lädt die erforderlichen Treiber, soweit verfügbar.

Aufgrund eines großen Knotens habe ich die falsche IP als vIP benutzt … etwas verwirrend.

Auf LAN 1 Stecken dann solltest du wenn alles richtig installiert ist eine IP per DHCP bekommen.

Dann sollte die PfSense 192.168.1.1 haben einfach im Browser https://192.168.1.1 eingeben
user: admin
passwort: pfsense

damit solltest du dran kommen

Danke für den Hinweis. Unlock klappte leider nicht.
Habe jetzt ein qnap qgenie davor geschaltet, welches das Internet von einem Android Handy über USB Sharing an die pfSense über LAN shared.

Ich wollte dazu anmerken, dass ich bislang in Jahren des Einsatzes von pfSense noch keinen ISP hatte, bei dem solch ein Skript notwendig war um die Connectivity wiederzubekommen. Ich würde an so einer Stelle auch eher beim Problem ansetzen als mittendrin. Aber prinzipiell kann man sowas natürlich basteln.

Nachdem was in Tickets und Threads steht lese ich da auch raus, dass der Package Maintainer das zu Gunsten von Squid+ClamAV Integration ad acta gelegt hat, zumal wohl ersteres inzwischen noch mehr Möglichkeiten bietet als das HAVP Package abdecken konnte.

Hallo mat.schie,

prinzipiell könnte auf dem Minix Z64W (oder gar ohne W) ein pfSense laufen. Käme auf den Versuch an ob du das sauber installiert bekommst und inwieweit die Hardware der Box (insbes WLAN) korrekt erkannt und dauerhaft störungsfrei betrieben werden kann, ist halt freeBSD. Der LAN Anschluss könnte LAN Netz bleiben für eure eigenen Leute und zur Konfiguration, WLAN wäre dann OPT1 und gleich Gäste WLAN mit Voucher / Captive Portal. Ein 3G/4G USB Modem dran und fertig. Da du das Gerät bereits hast würde ich es an deiner Stelle mal eine Installation probieren.

Mit einem Alix würde ich nicht mehr anfangen. Eine pfSense Box auf Basis APU1D4 / APU2D4 aus einem der Shops von den Jungs hier finde ich sinnvoller. Entweder ein kompatibles miniPCIe 3G/4G Modem einbauen oder auch hier einen 3G/4G USB Stick nutzen.

Wenn schon 3G/4G Mifi Router dann würde ich auch nicht den TP-Link Nanorouter nehmen (weil eben nur WLAN) sondern einen mit integr. LAN Anschluß. Sowas gibt es.

Prinzipiell: USB 3G Sticks gibt es nicht ohne weiteres. Das Gerät muss ohne weiteres als Modem arbeiten können. Auf der Seite von mwconn sind so einige Modelle gelistet, die sollten das prinzipiell können. Habe selber mehrere (gehabt), müsste schauen welche Modelle das waren / sind.