Ich wollte mal ein Feedback geben: bzgl DNS habe ich noch einige Optionen geprüft. Es hat nichts an dem Verbindungsaufbau geändert. Nun haben wir hier eine Fortigate für diesen Standort bekommen. Da ist auch nichts großartiges eingetragen bzgl DNS und der Aufbau ist so wie er zu erwarten ist; sofort. Evtl lag es an dem PC-PFsense-System....

Hallo, ich habe mittlerweile die Festplatte getauscht. Seitdem läuft die Firewall Der Tipp mit dem Storage war, so scheint es, der richtige. Danke dafür!

Ich habs gelöst. Es haben Phase2 einträge für das OpenVPN Tunnelnetzwerk gefehlt auf beiden Seiten (DC + Local Network). Jetzt funzt der Zugriff :) Vielen Dank anyways

Ist das Thema noch relevant? @Grimson Du machst mir irgendwie Angst.: @krischeu Wenn Du ältere Logs studieren möchtest, dann installiere das "Email Notifications Paket und lass Dir alle 24 Stunden die gewünschten Logs zumailen, Andere Alternative wäre ein syslog-Server auf einen Host wenn vorhanden.

@monstermania said in pfsense installation auf APU2d4: Man muss akzeptieren, dass Netgate mit der HW Geld verdienen muss! Von daher kann ich verstehen, dass man sich eine eigene HW-Plattform aufbaut. Klingt ein bisschen wirr. Was du da schreibst ist in etwa so wie wenn der nächste Tesla Konkurrent mit einem Rollstuhl Motor betrieben wird, und voraussichtlich mehr kostet als ein Model S. Zusammen mit den Zukunftsplänen für pfSense 2.5/3 ist das etwa so, wie wenn besagter Tesla Konkurrent mit eigenem RollstuhlMotorRennstall den Rennsport revolutionieren will. ARM SoC's sind eine äußerst Leistungsfähige Plattform der die Zukunft gehört. Die Bandbreite der positiven Aspekte ist enorm. ARMv8 ist in etwa mit dem Kürzel x86-64 gleichzusetzen. Du kannst nicht sagen nur weil der Kürzel drauf ist, ist es gut. Eine Cortex A53 will Heute keiner mehr in seinem Handy und ist auch für ein RasPi zu schwach. Marvell geht gar nicht. Broadcom ebenso. Eine Katastrophe. Wer will kann ja mal bei Ubiquity -und anderen die darauf gesetzt haben- Erfahrungswerte sammeln. Eine 64Bit SoC muss mit einem 64Bit OS befeuerte werden, ansonsten werden aus den Stärken große Schwächen. 1GB RAM können sich auch Hersteller von Single-Board Computer, TV's und Switches mit SFP+ nicht länger leisten. Selbiges gilt für PoE, mSATA, Verschlüsselungstechnik und Co Netgate hat mit der SG-1100 sicherlich aufs richtig Pferd gesetzt, dabei aber auch viele Fehler gemacht. Sie hätte besser in Israel bei Annapurna angefragt, und zweitens wäre es deutlich besser gewesen sie hätten eine Semi-Business Plattform für pfSense 2.5 und neuer gebaut. //EDIT: Bevor die absehbaren Vorwürfe kommen, möchte ich klarstellen dass sich meinem posts weder auf hatespech noch trolling beziehen. Es geht mehr darum dass sich alte Socken wie ich über Technik Diskreditierung und Pfusch am Bau echauffieren, und Zwangs-gedrungen potentielle Spectre/Meltdown gefährdete Stromschleudern wie eine APU2C4 als besser erklären müssen.

Einem Interface können nur einzelne IP-Adressen (eben auch mehrere) zugewiesen werden, aber nicht eine ganze Range. Nur diese werden vom Alias "This Firewall" erfasst. Ein ganzer Bereich wie 10.0.0.0/8 könnte zwar auf eine (einem Interface zugewiesene) IP geroutet werden, doch wird auf diese Weise auch nicht der ganze Bereich dem Interface bzw. dem Gerät zugewiesen, würde also auch nicht auf den Alias zutreffen. Geroutete IPs könnten nur weiter geroutet oder genattet werden.

@rico said in Zugriff von LAN auf Opt1ermöglichen: Wenn du an der default LAN Regel nichts geändert hast kannst schon jetzt von LAN auf OPT zugreifen. Um aus dem OPT Netz alles zu sperren außer Internet schau mal hier, da war die Selbe Frage und die Lösung dazu: https://forum.netgate.com/topic/139895/gast-regel Danke Rico, hat wunderbar geklappt. Zugriff funktioniert prima. LG

Eine Idee, wie ich das erreiche?

Hallo @be1001, eine Anleitung kann ich dir gerade nicht liefern. Aber versuch mal, ob du mit dem Avahi Package weiter kommst. Das ist für solche Zwecke geeignet. Und lies dich mal generell in Multicast Themen ein. Das hat mit IPv6 nichts zu tun sondern ist IPv4 Traffic an bestimmte Adressen, auf die halt mehrere Geräte hören. Beim Googlen kannst du dich auch an Apple Bonjour halten. Das ist auch Multicast und sicher verbreiteter als KNX. z.B. hier: https://www.youtube.com/watch?v=RPpX34bfk_w Viele Grüße

Hi Sternenwolf, OpenVPN-Port für den Tunnel unter "Internet-Freigaben-Portfreigaben" freigeben..... [image: 1549552465994-screenshot-2019-2-7-fritz-box-7490-2-resized.png] Du kannst auch DHCP im Frittennetz weiter nutzen...[image: 1549552180269-screenshot-2019-2-7-fritz-box-7490-resized.png] ..und die IP für die pfSense (hier skydive) festschreiben.... [image: 1549552508002-screenshot-2019-2-7-fritz-box-7490-1-resized.png] Dann noch WAN-Rule in der pfSense festlegen für den entsprechenden Port... [image: 1549552733763-screenshot-2019-2-7-skydive-orca-net-firewall-rules-wan-resized.png] ...und die OpenVPN-Rules zur Server-IP, Netz oder wo auch immer.... [image: 1549552833565-screenshot-2019-2-7-skydive-orca-net-firewall-rules-openvpn-resized.png] Hier im Bild auf OpenMediavault-NAS mit IP 172.16.7.10 von allen Tunneln bzw. dorthin. Das war es schon. Gruß orcape

Danke für Eure Tipps! Scheint gelöst zu sein! Inter-client communication ist deaktiviert. Folgenden Regeln habe ich gesetzt: [image: 1549478048049-2019-02-06-19_31_16-pfsense.netcup-firewall_-regeln_-openvpn-resized.jpg]

Danke für den Link. Ja es war etwas wenig beschrieben, aber soviel gibt es da ja auch nicht zu machen. Jedenfalls funktioniert es nun OHNE das ich etwas verändert habe. Die PF musste wohl ne Nacht drüber schlafen.

Achja... version: 2.4.4-RELEASE-p2 (amd64)

@mike69 Stimmt! Wäre wohl besser die Regel übergreifend zu setzten, damit ist der port in alle Richtung dicht. Mann ich mach echt zu viele Denkfehler. Insbesondere bez WAN. Irgendwann muss ich mir ein post-it auf den Bild Schirm machen WAN ist NICHT das Internet, WAN ist die IP-Range vom Anbieter

Moin, @wkn im Double NAT sehe ich kein Problem, Einrichtung exposed Host kommt bei Bedarf, VPN ist mometan nur abgehend geplant aber kommt eventuell noch eingehend als Relais und VPN Tunnel. Und ja, der Hintergrund für die Verbindung über den Switch sind räumliche Gründe und eine schon verlegt LAN Leitung und die Position des Telefonverteilers. Ich habe den Smart 2 dann gleich am Einlass im HA-Raum und speise, mit der vorhandenen Leitung, den Schrank ein.

Du braucht mit BNG nur noch das VLAN7-Tagging auf dem WAN-Interface. VLAN8 entfällt damit. Ich denke mal, die Fritzbox macht das schon für die Verbindung. Setze mal in deiner LAN to any rule auch die "Allow IP options"

Danke! Die Anleitung deckt sich mit meiner. Nun möchte ich auf meinem gw (Linux host, spielt DHCP, etc.) mit iptables den Client vom Nachwuchs umlenken auf den pfsense Server. Jedoch klappt das nicht :/