Hi, so - Austausch ist durch - wie von flix87 vorgeschlagen. Alles perfekt gelaufen, keine Ausfallzeit. Super! for the records: Backup gezogen, neuen Rechner mit default-Einstellungen installiert Die Reihenfolge der Interfaces WAN - LAN - OPT1 - OPT2 - OPT3 über die Konsole eingerichtet. Die richtigen IP-Adressen zugeteilt. Über Crosslink-Kabel mit der LAN-Schnittstelle einen Laptop verbunden und über die WebGui das Backup zurückgespielt Gebootet und die Kabel vom defekten an den neuen Rechner gesteckt - fertig. Gruss bakunin

@flix87: Aber ich glaube das der das Problem macht weil du ja dann nicht mehr direkt rausgehst. Squid auf dem Interface deaktiviert und alles ist OK. (… ich frag' mich gerade, ob ich squid wirklich brauche) Was du mal testen kannst ist wenn du noch eine Regel anlegst wie unten nur statt mit deinem Lan Netz mit 127.0.0.1/32 vielleicht geht das weil der Squid ja irgendwie wohl ach als localhost erkannt wird. Hab ich probiert, funktioniert aber nicht … Danke für die Problemlösung bakunin

Nicht nur Du  ;) Gruß Hornetx11

Sooooo…kurze Rückmeldung mal. Tag der Umstellung von "normal" DSL auf RAM war o.k. Wurde schon vor Mittag umgeschaltet. Dann Splitter weg und den Vigor dran.  Hab ihn ersteinmal die Einwahl machen lassen um sicherzustellen das es faktisch klappen kann. Hatte mir schon die Modem-Config File von der DrayTek Seite eingespielt. Standardmäßig stand der DSL Mode dabei auf "Multimode" den ich als solches verstand, dass der Vigor alle Möglichekiten durchgeht und beim passenden bleibt. Aber hab ich wohl falsch verstanden?  Hab ihn zmd 20min Syncen lassen und klappte nicht. auf ADSL2+AnnexJ ging es dann nach 10Sekunden. Also ab den Vigor in Bridge Mode und die Sense die Einwahl erledigen lassen - klappt! Fritzbox über LAN1 im Client Mode ans LAN dran, Telefonnummern eingegeben klappt. ISDN Telefon direkt an FritzBox konfiguriert. Eingehender Anruf - klappt! Ausgehender -> FAIL! Firewallregeln von hier gecheckt, passt eigentlich... Fehlercode der Fritz gegoogelt und dabei gefunden dass es bis 24h dauern kann bis alles korrekt portiert ist bei denen...ok, andere Baustelle verfolgt-> TK-Anlage hinterschlaten. Also ISDN telefon ab, Fritzbox in Anlagenmodus geschaltet und probiert. Nix geht...ok vl MSN in der Anlage anpassen...manche sagen mit Vorwahl manche ohne...keine klaren Aussagen gefunden. Probiert und gemacht....nix. Dann wieder suche suche....und dann folgendes gefunden: Wenn Fritz in den AnlagenModus soll, dann S0 ABKLEMMEM, dann Fritz konfigurieren, dann Neustarten, dann S0 dran - >funktioniert. MSN wie vorher, also ohne Vorwahl! In der Fritz hab ich die Internetrufnummern MIT Vorwahl eingetragen UND bei den vier Kästchen unten für die Wählregeln die letzten beiden Aktiviert immer. Die "0" für Amt und das für die Ortsvorwahl. Nun lief erstmal alles. Auch Ausgehende Anrufe klappten - warum auch immer - auf einmal. Da am Netzwerk und Co noch einiges anderes an dem Tag geändert werden sollte, hab ich mich fröhlich damit beschäftigt bis ich da auf Fehler stoß die ich nicht beseitigt kriegte. Und wie der Zufall es will flog an dem Tag (warum weiß natürlich niemand im Haus) mehrmals der FI raus. Da noch keine USV an der Sense war, hat die sich öfter ungewollt neugestartet, währen ich CaptivePortal am einrichten war. Nachdem auf den WLAN Clients die Anmeldeseite nicht mehr klappte, hab ich mir die kiste beim rumbasteln wohl erhängt... Die morgends ausgetauschte hatte ich aber unberührt noch dabei. Also dort die Fritzbox in die Regeln eingerichtet wie hier im Forum beigebracht bekommen und tata...alles klappt, aber keine ausgehenden Anrufe. Also gesucht, vergleichen, neugestaret, States gelöscht und und....und kein Erfolg. Plötzlich gings. Darum alles versucht SChrittweise rückgängig zu machen um den Fehler zu lernen...nicht gefunden. Geht aber nicht mehr... Lange Rede kurze Frage: Meine Vermutung: Kann es sein, dass es einfach einige Zeit dauert, bis ausgehende Anrufe wieder von der Telekom korrekt geroutet oder sonst was werden? Grad wenn es viele Neueinwahlen gibt in kurzer Zeit oder so ähnlich? Denn wie am Morgen sofort nach der Umstellung, lief alles - aber halt keine ausgehenden Anrufe. Und plötzlich doch.... Mich als Vollnoob hat es zur Weißglut gebracht und im Nachhinein dachte ich mir, dass es einfach DAUERT bis es ausgehend klappt. Das würde auch den Beginn des Tages erklären. Morgen werde ich weiter daran forschen und es dann mal in Ruhe versuchen zu reproduzieren. Zu den verwendeten Ports gibt es ja auch leider mehrere Meinungen im Netz. Aus Angst da was zu vergessen, habe ich lieber einen zuviel eingegeben als zu wenig. Naja.... schon toll dieses VIOP :)

Moin, Chris, danke fürs Nachprüfen! -teddy

Ja, das wars! :-[ Danke!!!!  ;D

Wenn pfSense, auf der der OpenVPN Server läuft, das Standard-Gateway auf dem freeNAS ist, sollte eine Regel am OpenVPN Interface, die den Zugriff erlaubt, genügen. Hast du Zugriff auf andere Teile des Netzwerks?

Hallo ich habe inzwischen eine Möglichkeit gefunden. 1. Eine Datei /etc/blockhosts erstellen 2. In diese Datei die zu blockenden Adressen eingeben, z. B. 0.0.0.0 www.nsa.gov 3. Unter Service - DNS Forwarder - im Feld Advanced folgendes eintragen: addn-hosts=/etc/blockhosts 4. Dienst dnsmasq neu starten. Anmerkung: Aus irgendwelchen Gründen kann die Datei /etc/blockhosts nicht beliebig viele Einträge enthalten. Irgendwo zwischen 14000 und 15000 Einträge ist Schluss. Dann wird die Datei nur noch leer abgespeichert. Ich habe z. B. eine Sperrliste mit ca. 27000 Einträgen. Dazu erstellte ich die folgenden 3 Dateien: /etc/blockhosts1 mit 13000 Einträgen /etc/blockhosts2 mit 13000 Einträgen /etc/blockhosts3 mit  1000 Einträgen Im Feld Advanced habe ich folgendes eingetragen: addn-hosts=/etc/blockhosts1 addn-hosts=/etc/blockhosts2 addn-hosts=/etc/blockhosts3 Fertig. Gruß Peter blockhosts.txt

@Michael_HL: Ich sichere meine 160 GB Platte zu meiner Schande noch mit einer älteren Clonezilla Version (2.0.?), was recht flott und zuverlässig funktioniert. 160 GB in 10 min - da komm ich nie hin. @Michael_HL: Bei der pfSense-Installation kannst Du doch im Custom-Modus (Nicht im Quick-Modus) Partitionen erstellen und diese gezielt für pfSense benutzen Okay, danke. Ich kann mich nur an die Meldung einer früheren Installation erinnern, wonach pfSense die gesamte Platte haben möchte. Vermutlich habe ich später nur mehr im Quick-Modus installiert, weil ich eh nie etwas zu ändern hatte. Werde es bei der nächsten Installation versuchen. Grüße

Danke. Ich habe zweimal (für WAN1 und WAN2) in der Normal View des Firewall Log auf das Icon "Easy Rule: Add to Block List" und (später) auf Apply geklickt, seitdem kommen keine derartige Einträge mehr. Sorry, ich war anfänglich (nach dem Update auf 2.2.4) etwas schockiert, aber nach dieser prima Hilfe bin ich sehr froh, dass ich pfSense gewählt habe.  ;)

Danke, ich habe dieses Problem dadurch lösen können, dass ich auf 2.2.4 upgedatet habe (es gibt dazu 'was im englischen Forum: https://forum.pfsense.org/index.php?topic=98207.0) Gruss bakunin

@dkrizic: was sind das für Switche? Routen die, haben die VLAN? das steht doch oben, dass sie nicht gemanagt sind. @dkrizic: Oder habe ich eine Komplexität übersehen? Scheinbar. Was hier vorgeschlagen wird, ist ein "exposed host". Das ist so ziemlich das Gegenteil einer DMZ, wenngleich Linksys uns das immer als DMZ verkaufen wollte. Ist es aber nicht. Also ich würde keine Ports eines Hosts innerhalb meines LANs für die Außenwelt öffnen, nie im Leben! Mit der Switch-Kaskade hat der/die/das Polygon aber ein Problem, denn damit funktioniert das einfach nicht. entweder Switch gegen gemanagte Geräte tauschen und VLANs einrichten, oder Server umstellen. Alternativ kannst Du den Server ja vielleicht über Powerlan bist zu Deinem Router durchreichen, ganz vorbei an der bestehenden Infrastruktur. ?

Vielen Dank für die hilfreichen Antworten! Das klingt alles sehr gut soweit. @teddy: hausintere VOIP sollen her. Wlan soll nur ein Backup sein, den Großteil des Netzwerkverkehrs soll via Kabel ablaufen, sprich: Internetzugang reicht für Wlan völlig aus. VG Chris

Hi matzed00, Deine Beschreibung ist schon etwas diffus, hier solltest Du noch etwas "nachlegen". Zum einen….. 1. Server PFSENSE als Open VPN Server als Remote Access IP: 192.0.1.0 Kein privater IP-Bereich, das solltest Du ändern… https://de.wikipedia.org/wiki/Private_IP-Adresse Desweiteren….. 2. mehrere Router als Client 192.168.100.0, 192.168.200.0, usw. …was Du hier beschreibst sind Netze und keine Clients, das sollte dann so ungefähr aussehen.... 192.168.100.1 bzw. 192.168.200.1 ..als Router-IP. Die Open VPN Verbindung steht. …..schön, aber mach es Dir auch für eine Fehlersuche einfacher und verwende für den Tunnel einen anderen privaten Netzbereich. z.B. 10.8.0.0/24 So ist das ganze einfacher, auch für einen der Dir da helfen soll. Die Definition dieser Clients erfolgt über Client Specific Override. Bei jedem OpenVPN-Server als CCD bekannt, ist klar. Hast Du auch an die Firewall gedacht ? Im übrigen, um sinnvolle Hilfe leisten zu können….. Netzaufbau mit IP-Belegung (möglichst eine kleine Zeichnung) VPN-Config von Server/Clients, verwendete Hardware der Tunnelkomponenten eventuelle Logs und Routing-Tabellen ....ist unabdingbar. Welche Verbindungen funktionieren, wo hakt es ? Also etwas mehr ins Detail gehen. In der Regel haben wir es alles mit privaten Adressen zu tun, die weltweit mehrfach verwendet werden. Deine Keys und die feste IP Deines Anschlusses wollen wir ja gar nicht wissen... ;) Gruß orcape

wenn du den lease sehen kannst könntest du ja zumindest dir eine feste IP bzw. einen festen lease geben (würde ich eh empfelen will ja wissen was meine pfsensen haben) und könntest dich freischalten und kommst so drauf. wenn ich pfsensen so anbinde mache ich das auch gerne das ich über das wan interface mit entsprechenden regeln drauf gehe.

Danke für den Einwurf, aber VLAN-fähige Hardware ist vorhanden  ;)

Okay, nach vielen weiteren Stunden mit Snort sowie im Forum habe ich nun folgendes gemacht: Snort deinstalliert ( wichtig dabei - haken unbedingt rausnehmen um auch alle Einstellungen bei der Deinstallation komplett zu löschen ) Danach Snort sauber neu installiert und es funktionierte wieder. Ich vermute, daß hier wohl noch irgendeine falsche Einstellung aus einer älteren Snortversion beibehalten wurde. Ich schreibe dies, damit es evtl. auch anderen Usern im Forum hilft.