Hallo!

@DarkMasta:

Daher habe ich eine NAT Outbound Rule erstellt.

Interface: WAN
Protocol: any
Source: Netzwerk (VLAN IP)
Destination: any
Translation: spezifische IP von ISP die bei virtual IP hinterlegt wurde

Ist mein vorgehen korrekt?

Schaut gut aus.

@DarkMasta:

Wenn das VLAN intern eine Regel hat über eine spezielle WAN Schnittstelle(Virtuelle IP) zu kommunizieren, ist es möglich z.B. eine Webcam in diesem internen VLAN übere eine andere Virtuelle IP zu kommunizieren?

Du meinst eine NAT-Regel, in der du die virtuelle IP auf die Hosts im VLAN wie die Webcam weiterleitest?
Sollte so funktionieren. Jedenfalls wenn du deine Webcam direkt über eine IP ansprechen kannst. Viele Webcam-Apps möchten die Cam unbedingt per Multicasts finden, das geht aber nicht über einen Router.

Die hauptsächliche Änderung der letzten Regel war das der Source Port auf any gesetzt wurde oder? Statt vorher 8000.  :o

Hey,

ich habe Squid samt Suidguard im Einsatz, auch mehrmals schon neu einrichten können.

Laut einem alten Beitrag in irgendeinem Forum muss man SquidGuard immer vor(!) Squid als Package installieren. Im Anschluss erst Squid (in meinem Fall immer Version 3, die 2 sei unkomplizierter) installieren. Funktionierte immer!

Um dann den Filter greifen zu lassen sind auch immer die selben Klicks notwendig, da sonst nach einem Distributionsupdate oder größeren Änderungen der Filter wieder alles durchlässt. Das sind ein Klick auf "Save" in den betreffenden ACL's, dann ein Klick auf "Save" im "general settings" gefolgt von einem "Apply" auf der selben Seite.

Habe viel probiert, es klappte aber immer nur genau so, auch nur in den genannten Reihenfolgen.

Mein Squid läuft übrigens nicht-transparent.

Übeltäter scheint gefunden. Es ist tatsächlich Squid. Lädt an den psf Dateien von Windowsupdates scheinbar auch dann herunter wenn schon viele Stunden nichts angefordert wurde.

Zumindest passte einer der IPs zum Eintrag im Squid Log für ein Windows Update. Leider kann ich so nie vernünftig sehen welcher lokale PC den Anstoß zum Download gab.

Kann man eigentlich dafür sorgen das Squid die Datei zwar cached, aber gleichzeitig auch schon dem anfordernden Client zur Verfügung stellt?

Du kannst auf einem physikalischen Interface VLANs stapeln und darüber dann bis zu 4096 WAN Interfaces bauen (je nachdem wieviele VLAN Tags Dein Switch und der NIC zulassen).
https://doc.pfsense.org/index.php/VLAN_Trunking
https://doc.pfsense.org/index.php/Assign_Interfaces

Hat wunderbar funktioniert (auch wenn IPSec im Vergleich zu OpenVPN doch recht fummelig zu confen ist).

Schönes WE!  8)

@BlueKobold:

Kingston schreibt dazu:
Alle MLC-basierten SSDNow Laufwerke von Kingston sind jetzt TRIM-kompatibel. Einige unserer SSDNow-Laufwerke der ersten Generation sind nicht TRIM-kompatibel.

Genau das ist ja das Problem, ich habe auf dem Datenblatt von Kingston nichts davon gefunden, jedoch gibt es eine FAQ wo gezeigt wird wie man TRIM in Windows 7 aktiviert, was nur darauf schließen lässt..

Ja, okay… das ist auch deutlich günstiger! Danke!

Ja, der Traffic über diese Verbindung ist minimal. Ein Schliesssystem. Also ab und zu mal ein paar Pakete mit irgendwelchen ID's oder sowas…

Hier meine funktionierende Konfig für eine Lan2Lan Kopplung zwischen Pfsense und Fritzbox.

Ich muss aber anmerken, dass es VPN-Technisch keine Traum-Ehe der beiden Geräten ist. Dafür ist die Fritzbox mit den Einstellmöglichkeiten zu limitiert.

Gruß
Rubinho

Fritzbox VPN Konfig:

vpncfg { connections {   enabled = yes;   conn_type = conntype_lan;   name = "Lan2Lan";   always_renew = yes;   reject_not_encrypted = no;   dont_filter_netbios = yes;   localip = 0.0.0.0;   local_virtualip = 0.0.0.0;   remoteip = 0.0.0.0;   remotehostname = "dyndns.derPfsense.de";   remote_virtualip = 0.0.0.0;   localid {     fqdn = "dyndns.derFritz.de";     }   remoteid {     fqdn = "dyndns.derPfsense.de";     }   mode = phase1_mode_aggressive;   phase1ss = "def/3des/sha";   keytype = connkeytype_pre_shared;   key = "Presharedkey";   cert_do_server_auth = no;   use_nat_t = no;   use_xauth = no;   use_cfgmode = no;   phase2localid {     ipnet {       ipaddr = 192.168.178.0;  #IP Netz vom Fritzbox LAN       mask = 255.255.255.0;       }     }   phase2remoteid {     ipnet {       ipaddr = 192.168.0.0; # Sammelnetz zur Pfsense       mask = 255.255.0.0;       }     }   phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";   accesslist =   "permit ip any 192.168.1.0 255.255.255.0", # Lan1 der Pfsense   "permit ip any 192.168.2.0 255.255.255.0"; # Lan2 der Pfsense   }   ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",                       "udp 0.0.0.0:4500 0.0.0.0:4500"; } //EOF

phase1zurfritz.JPG
phase1zurfritz.JPG_thumb
phase2zurfritz.JPG
phase2zurfritz.JPG_thumb

Dann ist das genau so wie ich gesagt habe.
Die Anfrage geht an die .253 die Antwort kommt aber von der .254 weil die ja eh im selben Netz ist und daher nicht mehr über die .253 Antworten muss.
Dann hat man eben ein asymmetrisches routing was eben leider dazu führt das Sitzungen wie RDP oder SSH abbrechen können.

Am besten wäre wirklich wie du schon schreibst Multi WAN also das eine PfSesne alles macht oder spricht da was gegen?

Wenn ja dann am besten ein Tarsnfernetzt zwischen beiden PfSensen aufbauen also ein neue Netz was nichts mit den aktuell bestehenden zu tun hat und dann darin vpn der einen auf die andere PfSense verweisen. Damit könnte es vielleicht gehen.
Der Aufwand ist aber denke ich größer als einfach eine PfSense hin zu bauen die alles macht. Multi WAN ist ja in den neusten Versionen kein Problem mehr.

Das ist ja mein Problem, ich würde das gerne genau so machen wie du es sagst, aber irgendwie stimmt da etwas mit dem Routing nicht.

Der Tunnel steht, aber wenn ich per Diagnostic versuche einen Ping (von dem erstellten Interface oder von dem OpenVPN Client selber) auf www.google.de oder heise.de zu schicken und hab da bereits einen 100% Paketverlust…

Ich weiß nur leider nicht wo ich nach dem Fehler suchen kann da mir OpenVPN sagt der Tunnel wäre aufgebaut.

//edit: So hab es nun hinbekommen, mein Fehler war das ich versucht habe eine TUN Verbindung zu einem TAP-only Port herzustellen.

Nun wird alles sauber geroutet und es funktioniert!!! Das hat mich ganze 3 Tage gekostet :D..

Gruß

Na ja … umgebogen via Rule habe ich es ... jedoch wenn man eine Failover Config erstellen möchte dann ist man auf den APinger angwiesen.

Was das State Killing angeht, so kenne ich diese Option... hilft jedoch nicht.

Ich habe inzwischen herausgefunden das nach einem Neustart in der apinger.conf nur das WAN IF aufgeführt ist, das VPN IF taucht nicht auf.
Nach einem Neustart von APinger taucht dieses jedoch dort auf.

Scheinbar wird der APinger vor dem GW gestartet, und das GW fehlt deswegen in der Config. Hier fehlt irgentwo scheinbar ein trigger...

Ok, ich habe es hin bekommen. Zumindest auf der Seite der Pfsense funktioniert es, leider wirft der Cisco die Pakete alle weg. Da er keine Option besitzt, die Antworten für ein unbekanntes Netz zurückzusenden. Leider kann man ebenfalls die Phase2 nicht weiter konfigurieren. Aber zumindest kann man sehen, das im TCPdump die Pakete mit der richtigen IP ankommen.

Nun bleibt nur noch eine kleinere Frage: Wie bekomme ich es hin, das ein Client im LAN der pfsense eine Virtuelle Adresse anpingt die durch den Tunnel auf einen Rechner im LAN des Cisco´s verweist?

Das wäre demnach ein NAT before IPSEC, oder?

Danke hat alles funktioniert
jetzt lasse ich euch wieder in Frieden

Nabend,

dann würde ich (kein Gewähr!) sagen es wäre natürlich möglich, wie gesagt muss es dann am Modem untagged werden.

Gruß