Hallo JeGr

@JeGr:

Das hat nichts mit dem Keepalive von OpenVPN zu tun, sondern mit dem GATEWAY. pfSense pingt per default seine Gateways immer ca. 2x/s an um bei einem GW Failure entsprechend das Gateway offline zu nehmen und entsprechende Aktionen durchzuführen. Das sind auch keine 3-4 Pings pro Sekunde sondern genau 2 wie beschrieben, also alle 500ms - natürlich gibts auf den Request einen Reply, als Antwort -> Richtung beachten wer mit wem redet.

Ja das hatte ich der Zwischenzeit auch schon selbst erkannt. Ich habe jetzt folgendes Problem:

Die folgenden Eingabefehler wurden erkannt: Der Name Gateway darf nicht länger als 32 Zeichen sein, darf nicht ausschließlich aus Ziffern bestehen oder aus Unterstrichen bestehen und darf nur folgende Zeichen enthalten: a-z, A-Z, 0-9, _

Wenn ich die Bezeichung kürze kommt:

Die folgenden Eingabefehler wurden erkannt: Ändern des Namens eines Gateways ist nicht erlaubt.

Das ist jetzt etwas verzwickt…

BG Mario

Hi HydrexHD,
warum machst Du es Dir so schwer.
Die Fritte in vorderste Front, so hast Du keine Problem mit Tel./Fax etc., welches Du sonst in der pfSense explizit freigeben müsstest. Hier, in diesem ersten Netz, kannst Du auch die Plaudertaschen, wie z.B. TV ansiedeln. Ich habe z.B. da auch mein WLAN-Gastnetz am laufen.
Für die pfSense vergibst Du in der Fritte eine feste IP und schaltest Ports frei, wie z.B. OpenVPN oder IPSec, falls das gewünscht ist.
In die pfSense kannst Du noch eine 3. LAN Karte einbauen, wenn das geht. Ich hab da ein Stromsparendes APU2C4 mit 3NIC 's laufen. < 8W incl. einer WLAN-Karte.
So wäre dann WAN-von der Fritte, Dein internes LAN, DMZ für das NAS, je nachdem wie Du Dein NAS von remote erreichen willst z.B. über IPSec oder OpenVPN. Wie Du WLAN dann vergibst, bleibt Dir überlassen.
Du hättest also bei Bedarf, incl. dem Frittennetz 5 unterschiedliche IP-Netze, ohne VLAN 's notwendig zu machen. Das ermöglicht Dir z.B. für Dein LAN und mehrerer Geräte dort, einfach einen billigen dummen Switch einzusetzen.
Gruß orcape

Zugangslisten? Hab ich noch nicht von gehört, wozu dienen sie?
Diese Listen besagen nur, wer (Hosts oder Netze) den DNS Server anfragen dürfen. In der Regel hat man hier nur sein LAN Netz hinterlegt.

Harden DNSSEC habe ich leider nicht aktiv, da kann dir vielleicht ein anderer Nutzer mehr helfen.

Hallo,

ich habe meinen Fehler gefunden.

Ich sagte doch, mein Denken ist noch von Sophos etwas anders.

Das Problem war, ich habe einen Ping ausm LAN ins Testnetz gemacht und dann erst die Regel erstellt.
Wie ich nun allerdings erfahren habe, greift die Firewall nicht bei bestehenden Verbindungen, sonder nur bei neuen. Nachdem ich dann mittels "Reset the firewall state table" alle Verbindungen getrennt habe, klappts auch mit der Firewall.

Nun habe ich nur noch ein DNS Problem, aber dafür mache ich ein neues Thema auf.

Danke

Danke für den Hinweis.
Ich Tage hatte vor dem Update ein paar VLANs hinzugefügt. Möglicherweise haben sich die IDs daher geändert. Der Reboot erfolgte durch das Update erst viel später.

Hi,

normalerweise gelten die Rules pro Interface, egal wie die verschalten sind. Also entweder eine Rule dafür einrichten, oder im Setup/Advanced/System Tunables diese Grundeinstellung ändern: net.link.bridge.pfil_member und _bridge. In der Vergangenheit hat mein Setup aber diese Werte irgendwie ignoriert.

Außerdem muß ein Windowsrechner für Pingantworten wohl auch entsprechend konfiguriert sein.

Gruß
pfadmin

Ah, danke! Das muss man natürlich wissen…

reeeeebooooot    :o

Was nicht mehr funktioniert ist, meine feste IP 5.123.123.123 kommt nicht mehr an der Pfsene an. Was muss ich noch eintragen, damit die pfsense die feste IP der KabelBW wieder kennt, bzw. wenn die Monitor IP ausfällt, das Gateway gesperrt wird.

Das hast du glaube ich falsch verstanden. Die feste IP ist am Kabelrouter, nur der leitet mit "Exposed Host" alle Anfragen an die IP der pfsense weiter. Damit ist aber nicht der "Ping" gemeint.

Gruß
pfadmin

Also Amazons Schuld kann es nicht sein, dass du dich nicht vor dem Kauf informiert hast, ob das Gerät von deiner Software auch unterstützt wird.

Ehe du jetzt aber die oben erwähnte HW-Kompatibilitätsliste nach 802.11n-fähigen WiFi-Adaptern durchsuchst (da gibt es nämlich welche) - vergiss es besser und befolg den Rat, einen richtigen AP an die pfSense zu hängen!
Alternativ kannst du auch noch dieses Forum bzw. das FreeBSD-Forum nach Lösungen durchsuchen, doch du wirst keinen besseren Rat bekommen.

So habe ich es letztendlich auch etabliert. Wollte nur sichergehen, die optimale Lösung einzusetzen.

Danke für die Bestätigung :-)

Dass wir ggf. andere Ports als 1195, 1196 etc. nutzen ;) Aber das ist Geschmacksfrage.

OK, ich werde mir morgen mal die Interfaces nochmals ansehen, vll. habe ich dort etwas übersehen.

Danke und Gruß, Sebastian

Das Quick- oder Easy-Rule geklicke ist aber wirklich nur das: quick & dirty. Das würde ich lieber so machen, wie es viragomann gut beschrieben hat, das ist einfacher, eindeutiger und für dich auch sinnvoller nachzuvollziehen, als irgendwas, was versehentlich mal im Log Viewer angeklickt wurde oder man sich verklickt hat und plötzlich abgehend intern auf dem LAN irgendwas blockt, was da gar nicht geblockt werden soll.

Firmware auf neuesten Stand gebracht Speedlink 5501 Stand 12/2017 –> Download Telekom
Im Modem-Modus belassen.

PFsense --> interface assignements --> vlan --> erstellen mit vlan 7
Danach gibt es im DropDown-Fenster bei interface assignement unter dem bekannten WAN-Interface was sich bisher weigerte ein neues Interface zur Auswahl. Und zwar das, welches man mit vöan7 neu erstellt hat.
Dort trägt man erneut die Zugangsdaten der Telekom rein und VOILA --> DIE SCHEISSE RENNT.

Grüße

Heinz

Moin,

wie, das Image so wie Du es heruntergeladen hast auf den Stick kopiert? Das wird nix.
Du nimmst nur das Image, entpackst es, und schreibst es dann direkt auf den Stick, nicht kopieren sondern als Image schreiben. Anleitung :
https://doc.pfsense.org/index.php/Writing_Disk_Images Du brauchst kein Tiny Core das auf den Stick geschriebene Image ist bootfähig.

-teddy

Prefekt!!! Ich danke Dir D-Kun, das war es anscheinend bei mir. Jetzt läuft es durch(erst mal ohne OPENAPPI).

Soll das wirklich das Ziel sein, oder ist das Ziel, dass User ab der "Einwahl" soundso lange online sein können? Denn das kannst du ja im Radius direkt einstellen.

Gruß
pfadmin

Sorry, dass ich mal in den alten Thread schreibe aber ich vermute, das dürfte den einen oder anderen auch interessieren und die Sache war ja nicht abschließend beantwortet.

Wenn man einen Benutzer über das Web anlegt, ihm Shell Access gibt und dann diesen Nutzer auf sftponly festnagelt, kann dieser nichts machen, außer SFTP. Auf das Web Interface bekommt er keinen Zugriff und eine Shell hat er ja dann effektiv auch nicht. Das Gesagte bezüglich Ownership des Home-Verzeichnisses des Nutzers gilt weiterhin. Einziges Problem: wenn man den Nutzer über das Web Interface irgendwie bearbeitet, werden die Verzeichnisberechtigungen zurückgesetzt (also auch z.B. beim Setzen eines Passwortes).

Da ich nichts davon halte, in den pfSense- eigenen Dateien herumzupfuschen, da ich auch mal ein Update installieren will oder das System aus einem Backup wiederherstellen können will, habe ich folgende Vorgehensweise gewählt:

Nutzer über das Web anlegen

Nutzer die Permission Shell Access geben

/etc/sshd_extra anlegen:

Match User sftpbackup
ChrootDirectory /home/%u
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp

shellcmd, alternativ cronjob anlegen:

/usr/sbin/chown root /home/sftpbackup

-rsa schluessel im authorized_keys file ablegen.
-die sshd_extra config im Config-Backup berücksichtigen.

Funktioniert soweit einwandfrei.

HTH