Hey, da kann ich auch noch etwas beisteuern: Wir haben hier für unser Management VLAN einen TL-WR710N (bei Amaz0n für knapp 30 €) mit OpenWRT "upgegradet", dann mit einem Nano-USB-Stick erweitert und OpenVPN installiert. Kostenpunkt: ca 40€ + Zeitaufwand: ca 30min zur Installation und einrichtung (wenn man sich mit openWRT auskennt). Es gibt aber auch einige Howtos dazu. Dieses Gerät könnte auch als WLAN-/LAN-Ruter dienen, hat aber kein DSL-Modem… Läuft bei uns perfekt stabil (mit VLANs, OpenVPN, etc...) Viele Grüße, Flomow

GRML Problem gelöst! Man sollte doch mal länger drüber nachdenken. Zum Hintergrund: Der Client auf den ich weiterleiten wollte nutzt direkt den Weg über meine Fritzbox, welche am KD Kabelmodem hängt (Gateway: 172.20.21.22) pfSense betreibe ich aktuell ja parallel zur KD Leitung und das pfSense ist der Gateway 172.20.21.100. Die Lösung ist also im Client den Gateway zu ändern auf 172.20.21.100, denn die SYN_RECV Meldungen bedeuteten, dass eine eingehende Verbindung zwar erkannt wurde, jedoch der TCP Handshake fehlschlug, da dieser über einen anderen Gateway versendet wurde. Naja manchmal muss man erst Stunden suchen und hier posten, bis man selber dahinter kommt. ;)

interessiert mich auch. hast du eine Lösung gefunden?

Grazie! Sieht vielversprechend aus …

Zu allem kann ich dir leider keine Antworten bieten, dazu hatte ich bislang zu wenig Bedarf mit custom kernel modules zu hantieren, aber für mich würde die loader.conf.local mehr Sinn machen, da diese Datei ein OS/Update überlebt, die loader.conf ggf. überschrieben wird (wie auch im Doku/Wiki erwähnt). Ansonsten war mein Verständnis, dass die txz Packages bei der Installation ja lediglich entpackt werden, insofern würde ich vermuten, dass auch die Kernel Objects und Symbols aus dem txz gehen. Viele Grüße Jens

@Lindi genau :) Zum Verständnis: WAN NET ist NICHT das Internet (auch wenns kurz in der Übersetzung so klingen mag), sondern das Netzwerk-Segment, welches auf dem WAN gebunden ist. Bei DSL bspw. das Netz, in dessen Bereich die IP liegt, die dir dynamisch zugewiesen wird. Also ein Netzsegment der Telekom/Vodafone oder sonstwem. Richtig ist in der Tat "any" da du ja ins Internet, also "überall" hin willst :) Ebenso wichtig ist auch die Reihenfolge, was Flix schon richtig beschrieben hat. Hier zählt, was zuerst zutrifft, greift. Also deine "nicht aufs LAN zugreifen Regel" ganz nach oben. ODER noch einfacher: Ändere dein Ziel bei der Erlauben-Regel so ab: Allow FROM (OPT1 NET) to (!LAN NET) Also erlaube den Zugriff aus OPT1 (einer IP aus dem Bereich, der auf OPT1 vergeben wird, also 192.168.188.0/24 ?) nach !(nicht) LAN Netz -> ergo überall hin außer ins LAN. Damit sparst du dir die Block Regel obendrüber mit dem LAN. Das klappt aber nur, wenn du "nur" diese beiden Interfaces (LAN/OPT1) hast. Sobald bspw. noch ein OPT2 dazu käme, ist es besser, das mit 2 Regeln wie Flix beschrieben hat zu lösen, denn dann soll ja meist nicht nur den Zugriff auf LAN sondern auch ins andere OPT Netz geblockt werden. Das aber nur als kleine Ausführung. :) Grüße

Hallo JeGr, genauso wie in der doc.pfsense definiert haben wir das eingerichtet + die Authentifizierung usw. klappt alles Prima, nur die übertragenen Bytes (accounting) funktioniert nicht. Ich habe das ganze auch schonmal ohne MySQL also ohne DB-Anbindung probiert, auch da werden die Accounting-Dateien in dem jeweiligen Ordner ./daily ./weekly ./monthly usw. mit der mac-adresse angelegt, aber haben immer den Inhalt "0". Also scheint irgendwas am Accounting nicht zu funktionieren. Wo muss ich denn suchen, bei Captiveportal oder bei Freeradius2 ? Irgendwie kann keiner (auch im Englischen Forum) helfen …

Und du redest die ganze Zeit an dem vorbei was ich schreibe ;) Was ich sag(t)e ist, dass - sobald die Anbindung wichtig genug ist, dass sie nicht down sein soll, es den meisten Entscheidern völlig egal ist, ob das active/passive oder active/active ist, hauptsache es ist HA - hochverfügbar. Natürlich hängt da noch die Zuleitung dran, aber die ist nicht in der Hoheit des Admins/der Firma, da kann man also durchaus den ISP gängeln für. Aber wenn der Border Gateway absäuft steht der Admin/Netzwerker/whoever ziemlich dumm da. Und wenn ich mir dann irgendeine HA Lösung von Cisco, Juniper oder wasauchimmer hole, nur weil die Entscheider da tolle Labels, große Marketingaktionen und dicke Eier sehen, lege ich mehr hin, als 2 potente Kisten (immer noch völlig egal ob eine passiv ist oder nicht) plus pfSense Support einzukaufen. So passiert mehrfach letztes Jahr bei unseren Kunden. Mehrere tausend Euro gespart, weil die entsprechende <label>Lösung teurer gewesen wäre und man gemerkt hat - hey das geht auch anders/besser. Damit aber genug OT von mir, hier gehts trotzdem um DNS :)</label>

hier mal so ein Beispiel… ... Ist das der Tunnel, oder vielleicht schon wieder ein anderer, oder kommen noch die Einträge... [image: Log.jpg_thumb] [image: Log.jpg]

Wenn ich mich nicht ganz täusche, kann man Aktualisierungen mittels Kindersicherung (Einstellungen -> Allgemein -> Einschränkungen) unterbinden. Kann man zur Not auch mal versuchen  :)

Und warum antwortest Du auf die Frage, bei welchem deutschen Distri man die NetGate Geräte bekommt, mit einem Link u.a. zur OPNsense Appliance? Dein Mitteilungsbedürfnis in allen Ehren, aber dann bitte auch die Antworten geben, nach denen gefragt wurde. @gonzopancho: I am amused by this thread. We just signed our first European distributor for pfSense.  So you should see results from that in the next 30-45 days. … Und da Du selbst in dem Thread geschrieben hast, solltest Du die Antwort auch noch kennen. Aber anstatt sie zu posten gibt es wieder Tiraden von (großteils unnützen) Links.  ::)

Route zum OVPN-Tunnelnetz setzen. Wenn auf dem Router bereits die Route in das LAN 192.168.0.0/24 bekannt ist, kannst du das auch auf der dortigen pfSense über Outbound-NAT lösen: Eine Regel hinzufügen für das IPSec-Interface, Source ist das VPN-Tunnelnetz und als Translation Address gibst du die LAN address an.

Oder - jetzt da es Frank sagt - warum nicht gleich einen USB-WLAN Adapter in den Rechner klöppeln? Dann ist man garantiert immer mit dem Rechner verbunden ;) und wenn die nicht ins Internet sollen, reicht das auch? Wobei ich die Lösung mit einem kleinen Redirection Router wie dem MikroTik fast besser finde :)

@stickybit: It looks like, that there is still a problem. My wife (who else …) told me that calls are going to crash after exactly 15 Minutes. Does anyone has an idea why? Your wife is talking to the internal answer phone and after 15 minutes it is full, perhaps? Ok back to the topic. In normal as I am setting up VOIP equipment it follows even three main ways to do so. Working with a STUN Server The router or Firewall comes with an internal SIP-ALG I am Using a VOIP Gateway, VOIP appliance or a VOIP PBX (all the same) in the DMZ In normal you want to be secure your LAN (local area network) and don´t open ports on the front side (WAN) so no ones can enter like she want, there fore the routers or firewalls are doing SPI/NAT and nothing that was called or requested from the LAN will be going in! But VOIP is like a telephone and for sure peoples like or want to call you from the outside without that you request this phone call, right? So now you are building a DMZ and placing there let us imagine an Asterisk VOIP PBX appliance, then you are able to open ports on the WAN side that are matching the given or offered service at the Asterisk PBX, and now you are able to connect them from outside (Internet) and from the LAN side, thats it. Ok instead of the Asterisk you are also able to use a VOIP Gateway from the Germany T-Com without no problems. You can also place the VOIP PBX Apliance in front of the pfSense without problems as I see it right VOIP PBX –- PoE Switch --- VOIP Phones that is also very easy to use. For a dedicated help or guess it would be even fine if someone draws a small network layout that we all can see  what kind of devices where in the game and where are the placed.

3. Muss man auf irgendein Feature (z.B. Trim Support) achten - wenn ja, welche der genannten oder vorgeschlagenen Platten unterstützt diese Features? Trim Support sollte man auf der pfSense einstellen und das war es dann auch schon. und natürlich die neuste "stable version" von pfSense dazu benutzen.

Bump und schon etwas gefunden? Hier ist ein Lösung die man einfach von außen anbringen kann. Enermax U.R. Vegas