Eigentlich nur das, was hier steht:
http://doc.pfsense.org/index.php/Multi_WAN_/_Load_Balancing

Das betrifft Load Balancing in pfSense 1.2.3.

In pfSense 2 sieht es etwas anders anders aus.

Ansonsten richtest du dein zweites WAN (OPT1) Interface so ein, wie dein erstes.
Wenn du Load Balancing nutzen möchtest, dann siehe den Link oben, möchtest du "Failover" nutzen, also wenn ein WAN ausfällt, dass das andere einspringt, dann siehe ebenfalls den Link oben. Der Link erklärt quasi LoadBalancing und Failover in einem.

Möchtest du einfach nur, dass zum Beispiel die IPs 192.168.0.2 - 192.168.0.100 über WAN1 gehen und die IPs von 192.168.101 - 192.168.0.200 über WAN2 (OPT1), dann musst du das einfach in den Firewall regeln einstellen, indem du bei der Regel den "Gateway" angibst, über welchen diese Adressen ins Internet kommen.

–--EDIT----
Ich sehe gerade, dass du ja auch Fragen zum Thema SQUID gestellt hast. Zur Information: SQUID und LOAD BALANCING funktionieren bisher NICHT auf ein und derselben pfsense.

Ich umgehe das Ganze, indem ich 2 pfsense nutzen, wie im Beispiel:

WAN1 ---
              --pfSense1 (Load Balancing) --------- pfSense2 (SQUID) ---- Clients
WAN2 ---/

Die pfSense1 braucht wenig Leistung, da hier ja nur die Internetbandbreite als maximal mögliche Bandbreite erzielt werden kann und die pfSense2 ist natürlich stärker ausgelegt, da der SQUID ja auch etwas cachen können soll, also auch RAM braucht.
Unabhängig vom SQUID hat man dort aber meist mehr Durchsatz, wenn intern zwischen verschiedenen Subnetzen Daten ausgetauscht werden.

http://www.pfsense.org/index.php?option=com_content&task=view&id=52&Itemid=49

10-20 Mbps - No less than 266 MHz CPU
wenn der interne Netzwerkverkehr NICHT über die pfSense geroutet wird, sondern lediglich der Internetverkehr.

Packages - Some of the packages increase RAM requirements significantly. Snort and ntop are two that should not be installed on a system with less than 512 MB RAM.

Also mindestens mal 512MB RAM, besser 1GB und beim Prozessor…sind wir mal ehrlich....da kannst du eigentlich alles nehmen, was noch keinen Staub angesetzt hat. 1GHz wirst du sicherlich irgendwo auftreiben können.

PS: Soll ich es nochmal im englischsprachigen Thread posten oder reicht dir einmal ? ;-)

maximum_object_size_in_memory 8 KB

http://www.visolve.com/squid/squid24s1/cache_size.php

http://www.visolve.com/squid/squid24s1/contents.php

stimmt :) da haste nicht unrecht….
aber würd es gern auch auf 70mbit/s bringen ;)
ich erhöh mal den ram cache ein wenig!
THX

Hallo,

du kannst Benutzer und Gruppen in pfSense anlegen, welche vershciedene Rechte habe bzw. verschiedene pages sehen dürfen und verändern oder eben nicht.

Dazu gehst du in pfSense 2BETA4 auf:
System -> User Manager

Dort kannst du Gruppen oder einzelne Benutzer hinzufügen. Ich weiss ad hoc nicht egnau wo, aber dort kann man dann auch "restrictions" oder so ähnlich hinzufügen über dieses typische "+" Symbol. Dort werden dann alle Seiten aufgelistet, die die pfSense hat und du wählst eben aus, welche Seiten diese Benutzer nutzen dürfen.
ACHTUNG: Es gibt eine Seite "pfSense Dashboard". diese musst du freigeben, sonst kommt er nicht auf die Startseite und kann somit die einzelnen pages nicht annavigieren.

Anbindung an ein AD…weiss ich nicht obs geht, aber man kann wohl einen Verzeichnisdienst angeben, mit dem man sich verbinden möchte, in wie weit das klappt, musst du testen oder jemand anderes weiss mehr darüber.

ne das funktioniert auch so….hab die alle umgeschrieben und sieht bombe aus.....hab gleich nen ganz neues interface gemacht....sah doch scheiße aus :D

http://rapidshare.com/files/434674174/cyx.JPG

falls jemand was abhaben möchte vom kuchen.....pm ;)

fett dann muss ich mir ja nur noch 3x 50mbit inet besorgen und dann ABFAHRT :D

Hallo,

vieleicht nur etwas, was ich übersehen habe, aber trotz Anleitung bekomme ich auf meinem IP-TV interface (VLAN 8) keine IP (0.0.0.0). Hat jemand eine Idee was ich verkehrt gemacht habe? (Alixboard und Speedport 722).
Danke für eure Hilfe.

Also seit dem ich auf ein reines 1:1 NAT gestellt habe, also die ganze IP Adresse durchleite, funktionierts noch immer.

danke für den Tipp :)

Da muss ich minimal widersprechen. Sinnvoll erschiene mir 3, nicht 1. Da du aber nicht angibst, wie du WLAN, Drucker, etc. anschließt gehe ich einmal frech davon aus, dass du die Fritzbox daher als WLAN AP und ggf. auch als Printserver o.ä. im Einsatz hast.

Wie gesagt finde ich Methode 1 suboptimal, da man mit 2 Geräten herumspielen muss wenn etwas nicht funktioniert. Da du aber wahrscheinlich kein freies DSL modem hast (ich gehe mal von DSL aus, Kabel wäre ja wesentlich einfacher), wirst du die pfSense wohl nicht direkt ans Netz bekommen. Das hätte es viel einfacher gemacht.
Was du nun genau für die Hardware nimmst ist dir überlassen, aber ich würde in deinem Szenario mindestens 3 LANs nehmen. Spätestens wenn du dann doch irgendwann Version 3 machen willst, brauchst du LAN1 für WAN, 2 für deine "DMZ" und 3 für dein geschütztes Netz.

Für dein Vorhaben #1 aber:

Die Fritzbox macht gar nichts mit Passthrough. OpenVPN funktioniert schlicht auf UDP Port 1194. Oder was immer du konfigurierst auf der pfS. Der Port wird ganz normal wie gehabt durchgereicht an die IP, die du der pfS auf dem externen Interface zur Fritzbox hin gibst. Natürlich muss der Port da auch filtertechnisch offen sein, aber das versteht sich von selbst.

Dazu habe ich weiter oben ja bereits geschrieben: ich würde es anders machen (bzw. tue das gerade). Ich hatte selbst sehr lange zu Hause aus "Faulheitsgründen" die Fritzbox an der "Front", aber nachdem gerade die 7390 am DSL immer unstabiler geworden ist, nutze ich nun ein DSL Modem (aka ausrangierte alte Fritzbox 7170 im Modem-only-Modus) vor dem ersten Interface der pfS und lasse die Sense selbst DSL aufbauen. Viel feinere Kontrolle. Außerdem kannst du dann den VPN Tunnel direkt aus dem Internet am Frontgateway (der pfS) terminieren und musst den nicht erst umständlich durchtunneln. Fritz und alles was Ports weitergeschoben bekommt wandern in OPT1 (genannt DMZ) und werden mit Portforwardings bzw. Firewallregeln und Routen versorgt. Alles was "Ruhe" haben soll wandert nach LAN und zum LAN hin wird auch nichts aufgemacht (außer ganz wenigen Zugriffen von Servern aus der DMZ).

Ich glaube das habe ich gerade beschrieben :)

Im Prinzip schlage ich das hier vor:

      WAN / Internet             :             : PPPoE-Provider             :       .–---+-----.       |  Gateway  |  (DSL Modem)       '-----+-----'             |         WAN | IP or Protocol             |       .-----+-----.  priv. DMZ    .------------.       |  pfSense  +----------------+ DMZ-Server |       '-----+-----' 192.168.1.1/24 '------------'             |         LAN | 10.0.0.1/24             |       .-----+------.       | LAN-Switch |       '-----+------'             |     ...-----+------... (Clients/Servers)

Grüße
Grey

Da ich ein wenig Timeout seit meinem letzten längeren Besuch im Forum hatte: Ist pfDNS inzwischen offizielles Projekt oder (immer noch) weiterhin nur eine Auskopplung die man selbst baut?

Letzteres würde die geringe Anzahl an Antworten erklären ;)

Hallo Power_Matz,

Fernsehen klappt nun, dank der Hinweise, jedoch komme ich (noch) nicht an die Streaming-Inhalte von Videoload und dem TV-Archiv ("Film der Woche" und so was..). Durch die entsprechenden Seiten navigieren klappt, aber auf der "letzten Webseite vor dem Ausleihen" fehlen bereits die Vorschau-Bilder.

Da mit dem T-Online Speedport W722V am selben Anschluss alles klappt fehlt mir noch irgend etwas im pfSense. Ich vermute, dass die fehlenden Inhalte von einem anderen Server kommen, welcher (noch) geblockt wird.. Komme da aber nicht weiter.

Wenn das Speedport Router/Modem wenigstens so was wie exposed host (manchmal fälschlicherweise als DMZ bezeichnet) können würde, dann könnte ich das ja einfach seinen Teil machen lassen und mit pfSense in Reihe zwei leben..

.olaf

Damit dieses Thema nicht vollends abdriftet in komische Spekulationen über Gehalt von Aussagen wollte ich - da gerade aktuell - noch etwas dazu beigeben.

Was sich für die schnelle und testweise Angriffserkennung gut eignet ist eine spezielle Regel auf dem Border Gateway, also der dem Internet zugewandten Firewall die mit ihrem Interface direkt am "WAN" hängt. Dort ein sprechendes Alias anlegen vom Typ Netzwerke und es in etwa "RejectBadGuys" nennen. Aber noch keine Netze eintragen.
In der Filtertabelle nun als obersten Punkt eine Regel vom Typ "Block" eintragen von der Quelle "RejectBadGuys" Ports "any" to "any"/"any".  Diese sollte nach ihrem Einfügen auch keinerlei Filterung machen (da im Alias noch nichts eingetragen ist).

Fällt dir nun im Log eine IP auf, die dir Suspekt vorkommt oder dir sehr viel Traffic oder Zugriffe auf Geräte erzeugt, die hinter deiner Firewall stehen, so kannst du - um Luft zu bekommen - diese Adresse mit /32er Netz in die Tabelle aufnehmen oder das gesamte Netzsegment aus dem die Zugriffe kommen in das Alias aufnehmen.

Wir hatten bei einem alten Arbeitgeber den Fall, dass es einige Fälle gab, in denen die Webserver bspw. von einem Sturm an Zugriffen überrannt worden sind, die alle einer Handvoll IP Adressen aus dem gleichen Segment zugeschrieben werden konnte. Diese konnte man dann, bis man weitere Maßnahmen ergriffen hatte, über diese Schnellblockregel aussperren. Um zu sehen, dass sie greift kannst du zusätzlich die Regel noch loggen lassen, dann sieht man sehr schnell ob es gut oder schlecht war. Natürlich kann man auch recht flugs eine einzelne Regel generieren wenn man im Filterlog einen Zugriff erkennt, aber wenn es diverse Adressen aus einem ähnlichen Segment sind ist man mit einer Blocktabelle wie dem Alias schneller. Zumal in solchen Situationen häufig jede Sekunde zählt in denen es heißt: "Je schneller die Zugriffe aufhören umso größer die Wahrscheinlichkeit, dass die Server weiterleben und nicht umfallen".

Grüße
Grey

Immer gerne. Vielleicht hilft dir auch http://wiki.hetzner.de/index.php/VMware_ESXi noch ein klein wenig weiter, wo einige Netz-Spezialitäten beschrieben sind.

Grüße
Grey