Nur VPN ist bei Auswall des grade benutzen WAN erst mal weg … ist ja aber auch logisch. Dann muss man die IP des anderen WAN ansprechen. Lässt sich aber auch einfach lösen, indem du einfach VPN Client Configs erzeugst, in denen beide Server IPs nacheinander drinstehen. Erreicht er dann die erste nicht, wählt er automatisch die zweite. Auch bei einer Zwangstrennung durch Verbindungsverlust. Kann man - wenn man Last verteilen möchte - auch RoundRobin eintragen, so dass mal die eine mal die andere gewählt wird, aber in deinem Fall ist nacheinander wahrscheinlich der gewünschte Zustand ;)

Ich nehme an, das einige die LAN->WAN allow(any) Regel entfernen und dann nur Portweise irgendwas ausgehendes erlauben… Mache ich auf unserer großen DC Firewall auch. Natürlich. Aber das hat eben zur Folge, dass ich den Kunden erklären muss, warum von ihrem Server XY nicht einfach mal eben so geht. Sobald man das erklärt ist das auch selten ein Problem. In Unternehmen ist das aber oft schwierig, denn wenn Chef A seine Lieblingsseite B nicht mehr aufmachen kann, gibts schnell mal Streß ;)

Was mache ich falsch? Mache ich einen Denkfehler??? Funktioniert IPv6 noch gar nicht eigenständig???? Doch, eigenständig schon. Mit allen Anbietern, die v6 Adressen für ihre Systeme nutzen. Da gibt es leider noch nicht so viele, wie mir lieb wäre. Deshalb raten da viele auch zu anfänglichem DualStack Betrieb (v4/v6) oder/und dazu, entsprechende Dienste extern via Proxies verfügbar zu machen (also quasi selbst ein v4->v6 Gateway zu bauen). Hierfür geht Squid sicher für die meisten Web-Dienste, sollte allerdings was anderes als HTTP/HTTPS benötigt werden, wirst du entsprechend andere Proxies oder Connectoren brauchen (SOCKS fällt da ins Auge). IPv6 only zu nutzen ist daher momentan nur mit etwas Aufwand möglich, da man abwägen muss, was die User benötigen um das bereitstellen zu können. Wenn du v4 am Client komplett abschaltest, muss natürlich der Proxy auch via v6 erreichbar sein und funktionieren, ansonsten wirst du nur bspw. Google oder Facebook über deren v6 Adressen aufrufen können. Gruß

Fehler gefunden! Der DNS Eintrag im DHCP Server sollte der IP des PFSense Servers enstrpechen…  :-[ Gruß Lothar

Neues Problem: snort Also ich bin mir nicht sicher ob es an snort liegt aber das ist wohl naheliegend. Gestern lief noch rdp, ssh und ftp ohne Probleme. Danach habe ich Snort nach Anleitung instaliert Einstellungen gesichert und bin ins Bett. Jetzt von der Arbeit versuchte ich mich per rdp auf den Server einzuloggen. Der Start lief problemlos, ich wurde aufgefordert die Daten einzugeben. Nach Eingabe der Daten wurde die Leitung gekappt und alle Ports zur PFsense geblockt. Es wurden ssh, ftp, rdp usw. gekappt. Auch der Versuch von anderen IPs zeigte das die Ports dicht sind. Ist das ein Fehler meinerseits, habe ich bei Snort etwas nicht verstanden? Order muss ich noch ne whitelist für Ports etc. erstellen? Eigentlich habe ich auf dem Server schon eine Software die genau das gleiche bei ausgewählten Ports wie Snort macht. Ist dann snort dann noch notwendig oder kann ich drauf verzichten? Update: Nach Neustart von pfsense ging der FTP, leider habe ich den Fehler gemacht das ich wieder versucht habe mit rdp auf den Server zu kommen. Und wieder das gleiche Muster, nach Eingabe der Anmeldedaten, sind sofort wieder alle Ports dicht.

OK, hab mich wieder erinnert wie es geht. Erkannt werden nur Wechseldatenträger. Für alle die ähnliche Probleme haben folgende vorgehensweise: 1. PC herunterfahren, SSD Karte auf MiniPCI Adapter stecken, am PC Daten + Strom anschließen und formatieren. Ggf. in der Datenträgerverwaltung eine Laufwerkszuordnung vorher machen. 2. PC herunterfahren, Adapter und Datenkabel entfernen. 3. SATA auf USB Adapter von z.B. USB Festplatte aufstecken und per USB an PC anschließen 4. Win32 Disk Imager starten, jetzt wird das Laufwerk erkannt, und Image auf SSD schreiben. Gruß Andreas

Moin, der Lancom kann/benötigt die Ports: 500  IP Sec   4500 NAT Transversal Es ist aber (je nach Konfiguration des LC) auch ein IP Sec via SSL Port 443 möglich. Gruß hornetx11

Tja, den Punkt hab ich gesucht … aber eher bei den Interfaces oder gateways, nicht DA wo er ist ;) Danke!

Problem gelöst, hing damit zusammen dass Opt1 und LAN im gleichen Subnetz lagen. Gruß Andreas

Arrr. kleiner Fehler große Wirkung. Hab aus Versehen LAN und Opt1 im gleichen Subnetz liegen gehabt mit unterschiedlichen Ranges. Opt1 in anderes Subnetz geschoben und schon klapps. Gruß Andreas

hi Guido42, in der Phase 2 bei der IPSec Konfiguration gibt es ganz unten den Punkt "Automatically ping host", dass sollte deine Frage beantworten ^^

Ja es muss ein anderes Netz sein. Wenn du z.b. ein 192.168.0.0/24 hast, dann kannst du ja dem Gastnetz z.b. ein 192.168.5.0/24 geben. Das ist wichtig, da du, wenn du alle über ein Netz lösen wolltest, den Gast nicht aussperren kannst. Wenn alle im gleichen Netz sind, dann kann sich jeder über Layer 2 anpingen und das geht dann nur über die Switch und nicht über die PFSense die für das routing und die entsprechenden Firewall regeln zuständig ist. Was weiterhin zu empfehlen ist, ist es in separierten VLANs aufzutrennen, damit ein Angreifer nicht einfach sich selber eine IP in deinem Netz gibt um dann in dem Privaten Bereich mit zu surfen.

Hallo und danke für die Antwort. Um die Router-Hardware auszuschließen habe ich nun die gleiche pfsense auf einen alten Laptop mit 2. LAN (PCMCIA) Karte installiert. Selbes Problem. Keine pppoe Verbindung Das Allnet Modem dann wie früher an die FritzBox: Verbindung zum Internet funkltioniert. Letztlich dann pfsense 2.1.5 runtergeladen und per USB-Stick installiert: Es läuft!  :o … zunächst auf dem alten Latop. Auf dem Intel Atom ITX muss ich noch testen.

Vielen Dank für die schnelle Antwort und die Anregungen. Das Telefon selbst funktioniert einwandfrei im Zusammenspiel mit einer IP-Telefonanlage. Eine IP-Adresse wird korrekt zugewiesen. Subnetzmaske und Gateway sind korrekt. Inzwischen funktioniert die LDAP-Abfrage: Erstens muss eine IP-Adresse anstelle eines Hostnamens angegeben werden und zweitens muss die Basisstation nach jeder Änderung der Adresse neu gestartet werden - mit letzterem habe ich nicht gerechnet. Diese Erkenntnis hat mich ein ganzes Wochenende gekostet 8) Auf nunmehr rein theoretischer Basis fände ich jedoch immer noch interessant, ob ich in einem Subnetz eine "virtuelle Adresse" anlegen und diese auf eine andere Adresse in einem anderen Subnetz weiterleiten kann. Viele Grüße Chris

Ich sehe gerade in den Logs bei Routing folgende Fehler: Mar 7 12:53:23 radvd[24644]: sendmsg: Permission denied Mar 7 12:53:19 radvd[24644]: sendmsg: Permission denied Mar 7 12:53:12 radvd[24644]: sendmsg: Permission denied Was hat dies zu bedeten ? Kann es daran liegen, dass das Routing nicht klappt ?  :-\