Hallo Marcel,

das Problem liegt am Squid auf deiner 2. Pfsense. Der Squid auf der Maschine maskiert ja die Clients und offensichtlich werden bei der Header Auswertung die X Forwards nicht korrekt ausgelesen.

Hast du auf deiner 2. PfSense den Upstreamproxy (1. PfSense) konfiguriert?

Wenn nicht solltest du das tun.

Aber mal generell gefragt…warum machst du die lightsquid Auswertung nicht auf der 2. Pfsense, dann werden nämlich auch die User ordentlich angezeigt? Welchen Sinn hat die erste sense? laufen im 192.168.1.0/24 Netz noch andere Dienste?

MfG spiritbreaker

Sollte eigentlich funktionieren … WAN stellst Du vielleicht auf irgendeine öffentliche statische IP (schließt da aber gar kein Kabel an) und stellst Dir deine LAN IP des Routers so ein, wie Du willst. In der pfSense konfigurierst Du Dir den DHCP Server und DNS Forwarder und als DNS Server von pfSense stellst Du den externen DNS Servers deines Providers ein.

Vielleicht muss man dann noch die Default Route ins Internet über dein echtes Gateway im LAN verbiegen, damit pfSense selbst den DNS nicht über WAN erreichen will ... falls das über die GUI geht. Musst mal ausprobieren mit den Routen rumspielen.

http://www.suacommunity.com/forum/tm.aspx?m=7935 hat mal ein wenig mit den vi Einstellungen geholfen

@johann8:

da alle Anfargen auf port 80 zu dem Proxy-Server umgeleitet werden

Du benutzt Squid, oder?
Erstelle darin einen whitelist Eintrag für die IPs/destinations/…

Von woher pingst du? -> zuerst immer mit pfsense selbst
Kennt der client die route zurück? -> am client wurde nichts geändert
Ohne diese Änderungen kannst du ihn pingen? -> ja
Wie sieht deine "erlaube alles" Regel aus? -> any any any
Erlaubst du auch alle Protokolle? Wenn du nur TCP/UDP zulässt wird ein ping nicht gehen da er ICMP benutzt. -> siehe any any any ^^

mich interesiert nur was bei opt1/openvpn interface nun genau auf was eingestellt sein mus o noch wo anders was fehlt

wer open vpn + rules laufen hat bitte starthilfe leisten

geht das rules gedöhns überhaupt mit schon eingerichteten open vpn server*n? oder darf man alles neu einrichten ?

Danke schön, hat wunderbar geklappt!

1: Wie stellst du dir das vor? Das zwei DHCP Server laufen? Woher soll dann jeder einzelne Client wissen von welchem Server er jetzt eine IP kriegen soll?
Du kannst schon zwei Subnetze an einem Interface haben, aber nur einen DHCP server.
(Und das ist nicht eine limitierung von pfSense sondern vom Prinzip wie DHCP funktioniert).

2: Nicht ohne weiteres und nicht mit der pfSense. Eine Möglichkeit wäre (wenn dein switch VLAN-fähig ist) jeden Port in einem eigenen VLAN zu haben und dann alles über die pfSense zu routen.
Allerdings wäre dann jeder port in einem eigenen subnetz.
Oder wenn es einfach nur darum geht den Zugriff ganz oder gar nicht zuzulassen, direkt mit den VLAN-Regeln
Bsp:
Jeder darf mit der pfSense reden (Internet geht), aber mit keinem einzigen anderen Port (Zugriff auf andere blockiert).

nich wirklich viel

man mus nur nen schlüssel generieren rest siehe pics

bei mir funktioniert allerdings nur TCP als Protocol

und Firewall Rules nicht vergessen

OpenVPN-Server.png
OpenVPN-Server.png_thumb
OpenVPN-Client.png
OpenVPN-Client.png_thumb
Firewall-Rules.png
Firewall-Rules.png_thumb

Hallo miteinander,

sorry dass ich mich erst jetzt melde, wir sind mit unserem unternehmen umgezogen und ich hatte anderweitig Stress…..

ich versuche nun ein ASCII-ART zu erstellen:

        DMZ 2-------- LAN Switch----------Firewall---------Router--------Internet                         217.6.195.0/24      217.6.195.3    217.6.195.4            |           |  217.6.195.2     pfsense 192.168.31.178 ______ DMZ 1  ____ LAN Switch            |  62.154.210,2                    62.154.210.0/24           |                                                  |           |                                                  |           |LAN 192.168.31.0/24                    |         Switch                                    Server, Webserver, Clients           |           LAN Server und clients

Ich wusste doch ich hab round robin schonmal irgendwo gehört. :-)

Vielen dank für die hilfreichen Antworten!
Damit sind all meine Fragen beantwortet.

Gruß
wanie

Ich kenne das nur von anderen Firewallsystemen wie WatchGuard im Zusammenspiel mit Cisco Geräten. Die Ciscos sind da das Problem. Du musst zum Beispiel auf der Cisco definitiv bei der Phase 2 nur eine Lifetime in Sekunden einstellen. Standardmässig ist dort auch noch irgendein Kbyte Wert drin. Dann kommt es meist bei Neuaushandeln des IPSec zu Problemen und nur ein manuelles Neustarten hilft…

Würde ich noch nicht machen. Ich bin wieder auf 1.2.3 zurück, die beta ist echt noch nicht sehr gut. Ausserdem hatte ich fast täglich Kernel Panics und musste das Teil hart neustarten…

Aber ja, so könntest du es machen. From Console und dann den Link zum Image da rein kopieren. Das nanobsd upgrade image ist das richtige...

Bei mir gab es auch nach dem Update Probleme mit dem Traffic Shaper zum Beispiel. Ich durfte dann eh 2.0 komplett neu konfigurieren...

Nein.
Die remote IP, ist die IP die dein Netzwerk gegen das Internet hat.
Die FritzBox betreibt NAT.
Du musst sie so konfigurieren, dass sie alle Ports zur pfSense forwarded.

Hi,

kurze Antwort: 100% JA.
Der Rest kommt auf deine Hardware an, die muss deiner Bandbreite natürlich angepasst sein (1 Mbit, 2 Mbit,10 Mbit, .. ,100 Mbit).
Nach dem Moden ist es egal was für eine Übetragungsart vorher da war (DSL, ADSL, SDSL).

MFG

ich selbst habe noch keine probleme damit gehat weil ich es noch nicht getestet habe. Der plan war uhrsprünglich einige standorte redundant an das wan an zu binden. Mit einer normalen sdsl strecke und ein paar umts/hsdpa routern oder so.
Bevor wir dies weiter angreifen konnten kamen bereits erste bedenken unserer partner die schon viele tage mit dem datenkarten/ummts/nat problem verbracht haben.
Wenn man onkel google mit worten wie "problem ipsec nat" und evtl "transversal" füttert fimdet man sicher gute gründe es zu lassen. (ich errinere mich nur sehr grob daran).

Desweiteren kann die pfsense wie es scheint nur 1 filtersatz für ipsec anlegen. Bei mhereren ipsectunneln kann das schon mal hinderlich sein.

Die openvpn implementierung läuft sehr stabeil bei uns auf pfsense. Es gibt allerdings etwas womit die openvpn server der pfsense so garnicht klar kommen. Und das ist das hinzufühgen von interfaces. Nach dem herumfummeln am interace tab der pfsense brechen alle tunnel bzw nur ihre filter zusammen. Da hilft nur ein reboot. Danach tuts alles wunderbar.

Grüße aus einem Bett an der Niederkändischen Grenze ;-)

Problem hat sich gelöst: es war ein Problem an der MPLS Leitung bzw. am MPLS Router.

hm also nicht viel Infos die du uns hier gibst :)

aber nach der IP Konfiguration zu urteilen müsste vmnet8 mit der ip 10.0.0.1 wohl das LAN interface sein auf dem die webgui läuft probiere mal über dein Browser auf die ip zu gelangen.