Nein, der Override funktioniert, sobald er gesetzt ist. Voraussetzung ist aber, dass die internen Rechner die pfSense als DNS nutzen. Ist das der Fall? Wenn sie einen anderen DNS Server verwenden, bringt der Eintrag nix. Der DNS-Cache sollte am Client ggf. auch gelöscht werden.

@rubinho: das hat doch mit den Kisten nichts zu tun. Für VRRP oder HSRP - was das gleiche ist wie CARP - müssen die Kisten sich auch gegenseitig sehen. Ein Standard Failover Setup sieht man am Einfachsten unter https://doc.pfsense.org/index.php/Configuring_pfSense_Hardware_Redundancy_(CARP) Da sollte auch klar werden was gemeint ist: auf dem WAN wie auf dem LAN wird das jeweils GLEICHE Netz konfiguriert und jede Kiste bekommt eine eigene Adresse dazu gibts dann in jedem Segment noch eine VIP, die von Gerät A auf B wechselt. Failover-Fall wird festgestellt wenn sich auf dem konfigurierten Interface (WAN oder LAN) die Geräte nicht mehr sehen (Ping sowie Multicast). Das Sync Interface ist nur für pfSync da um States und Konfiguration abzugleichen. Bricht Sync weg, hat man einen Async Zustand was die States angeht, aber noch KEINEN Failover Fall. Erst wenn die Master Firewall ein Fail auf einem der Interfaces bemerkt und die Failover Kiste sie daher nicht mehr erreichen kann, dann schwenkt alles auf den anderen Knoten, wenn bei dem noch alles funktioniert. Was in deinem Fall nicht funktioniert morphmax ist genau das Setup von CARP auf dem WAN, weil deine beiden Firewalls, wenn du sie einfach nur an die WAN Uplinks dranhängst, in völlig anderen Netzen sind (nicht im gleichen Subnetz) und du darauf dann keine CARP Adresse konfigurieren kannst, da sich die Kisten per Multicast auch nicht sehen und austauschen können. Klar können die sich Pingen (externe IP1 zu 2) aber Multicast kannst du nicht über Netzgrenzen hinweg problemlos sprechen, das wird fast immer vom Provider gefiltert. Und sobald du kein CARP Interface auf dem WAN hast, kannst du kein Failover auf den Slave machen wenn WAN wegbricht. Du hättest dann nur den manuellen Weg das in der UI manuell zu machen. Wie lösen Firmen das Problem? Diese habe doch im Normalfall Leitungen bei mehreren Anbietern und von unterschiedlichen Standorten aus. Sitzt da dann den ganzen Tag einer im Keller und wartet darauf, dass die Internetverbindung tot ist und steckt dann den Stecker um? Das siehst du falsch an mehreren Punkten. a) Die meisten Firmen haben da einen HSRP/VRRP/CARP Cluster stehen an der Anbindung und haben 2 Leitungen vom gleichen Provider, der auf seiner Seite auch irgendeine Redundanz spricht. Also ein "H" vom Aufbau (2 Geräte Provider bringen 2 Leitungen die in 2 Geräte von dir gehen, alle Geräte untereinander als Cluster konfiguriert und mit zwei Switchen vornedran - der Querstrich - verbunden). b) Eine Firma betreibt ggf. mehrere Standorte, aber nutzt diese Leitungen (meistens) nicht für nen Failover von intern. Vor allem ist bei Firmen NIEMALS der State entbehrlich oder Verbindungen entbehrlich und egal. Wenn mein Kunde bspw. ein Video streamt ist der nicht begeistert wenn ihm ständig der Stream abreißt. Mehrere Standorte sind meist aus Gründen wie Geo-Location, Nähe zum Kunden wegen Latenz und Laufzeit etc. aufgesetzt und nicht als Failover für ein internes LAN. c) Firmen haben dann ggf. andere Verträge und routen IPs via BGP + OSPF je nach Größe. Alleine damit ergibt sich nochmals ein völlig anderes Setup und Möglichkeiten, denn dann hast du ggf. an den Standorten die gleichen IPs, die du dann rüber routen kannst. Zumindest habe ich im Datacenter Einsatz bislang noch kein Setup gesehen, bei dem ein Kunde FWL1 in Location 1 und FWL2 in Location 2 versucht als "Cluster" miteinander zu verbinden, schon allein weil die Laufzeiten zwischen den Standorten ggf. recht groß sind. Von dem Problem des Routings mal ganz zu schweigen :) Ich supporte ein ähnliches Setup, dort stehen aber JE ein Cluster in DC1 und DC2 und die sind wiederum mit einem Link zwischen den beiden DCs "verbunden", allerdings ist bei denen BGP eingerichtet: Wenn der Kunde seinen Uplink schwenken will auf DC2, dann schalten die BGP auf Cluster 1 ab und auf 2 an. Und prompt läuft alles in DC2 auf. Für sowas gibts Monitoring und semi-autonome Prozesse die das triggern, aber ein DC Failover machen die meisten nur händisch, da ggf. noch andere Dinge vorbereitet werden müssen oder Hand in Hand gehen. Und 2 Leitungen für ein LAN zu haben - das machen die meisten Firmen eben nicht an unterschiedlichen Standorten, sondern holen sich beides an einen Cluster/eine Firewall ran und nutzen GW Gruppen und MultiWAN. Grüße

Hallo, die Umstellung von DSL auf VDSL hat erst mal geklappt. In diesem Zuge habe ich per Konsole auf "factory defaults" resetted. Die bestehende XML-Konfig importiere ich nun Stück für Stück. Seitdem habe ich die DNS-Probleme nicht mehr. Ich hoffe, dass sich das Thema damit erledigt hat - auch wenn ich die Ursache nicht gefunden habe… Vielen Dank nochmals Alex

Danke, funktioniert  8)

Hallo und Danke für Eure Antworten. Hat etwas gedauert, aber ich hab das Problem gelöst: Es waren die Einstellungen in den WAP371ern die das Problem verursachten. Firmware aktualisiert und Network auf VLAN100 eingerichtet und es funktioniert. @infler: hatte auf der LAN-Schnittstelle in der PFSense das VLAN mit eingerichtet. Geschadet hat es nichts!  ;) @magicteddy, ja, hatte ich gemacht. WAP wollte zuerst kein tagged (ACCESS) Port (war der Port für WAN). Nach dem Firmwareupdate ging es dann. THX.  8)

Da kann ich leider nicht viel dazu sagen, da wir pfSense nicht (mehr) mit WLAN betreiben, seit das auch vom Projekt selbst nicht mehr wirklich propagiert wird. Mir erscheint zwar Channel 4 reichlich ungeschickt, allerdings kenne ich die verfügbaren Kanäle der Schweiz nicht und wie die sonstigen Netze in der Umgebung sind.

hallo JeGr Danke für deine Antwort! ich glaube damit habe auch ich als nicht so versierter user das ganze verstanden…...

Wenn PP auf ihrer Homepage schreibt, dass so eine Konfiguration Vorteile mit sich bringt, dann probiere sie gerne mit pfSense aus. Ob es dann funktionieren wird, werde ich es früher oder später sehen. Wird aus meiner Sicht gerade nicht in pfSense funktionieren. Gerade Perfect Privacy erklärt das ja mit seinem tollen-super-duper eigenen Client für Windows der das ermöglicht. Natürlich ist da OpenVPN drunter, aber da wird eben zum Tunneln wohl viel routingtechnisch gemauschelt und gedreht, was ich nicht sehe, wie man das mit der UI von pfSense abbilden will. Da pfSense keine definierte Reihenfolge hat, in der VPN Clients gestartet werden (die starten m.W. parallel bzw. es könnte sein, dass die nach Zeit X ein Renew machen und die Reihenfolge nicht mehr gegeben ist), wäre ein Tunnel 2 durch Tunnel 1 konfiguriert nicht wirklich möglich. Auch ist das abgehende Interface zwar konfigurierbar (wenn das andere VPN als Interface angelegt wird), aber ich mutmaße dass es einen Fehler gibt, wenn Tunnel 1 nicht da ist und Tunnel 2 aufgebaut werden soll. Wenn man sieht, was unter https://www.perfect-privacy.com/german/anleitungen/kaskadierte-vpn-verbindung-ueber-mehrere-hops-unter-linux/ alles für Einzelschritte unter Linux auf der Console notwendig sind, halte ich es für unpraktisch / nicht sinnvoll machbar unter pfSense in der Oberfläche automatisierbar. Wie gesagt, der Gewinn des Ganzen wird natürlich von dem der es verkauft hoch gelobt. Wer würde schon sagen, dass der Kram den er anbietet Unfug ist? ;) Ich empfinde die Erklärung die oben unter 1: verlinkt ist ein wenig irreführend, da hier von einer Verstärkung der Sicherheit "blabla" gesprochen wird weil ja mehrere VPNs aufgebaut werden -> ja aber vom gleichen Provider. Wenn ich es auf den Traffic abgesehen habe, wie der Artikel auch spricht, dann gehe ich ggf. eh gegen den VPN Provider selbst vor, und gehe nicht undercover in irgendwelche Rechenzentren und versuche anonym irgendwelchen Traffic mitzuschneiden. :D Und bei potentieller Straftat in Verzug werden wohl am Ende doch die meisten VPN Provider einlenken und Zugang gewähren. Zwar vielleicht nicht auf Altdaten aber dann zumindest auf aktuelle Zugriffe und DIE kann ein VPN Provider sehr wohl mitschneiden - muss er ja, denn er muss deinen Account ja abgleichen, ob du bezahlt hast und das darfst was du tust. Ergo weiß er auch wenn du eine zwei drei VPN Tunnel aufbaust, denn jeder der VPN Server des Providers muss dich authentifizieren. Grüße

Moin, Moin, so wie ich deinen Aufbau verstehe, glaube ich nicht, dass es einen wirklich schönen Weg gibt, das Problem zu lösen. Ich bin mir nicht sicher, ob es reicht ein paar Ports zu öffnen. Am einfachsten erscheint mir die Installation eines SIP-Proxy auf der pfsense, der auf dem WAN lauscht (nicht wirklich schön). Beste Grüße und viel Erfolg

genau. solltest du mal einen falschen anklicken und deaktivieren, kannst du das bei dem interface unter rules wieder aktivieren.

Ich würde mir persönlich wünschen, dass man mit jeder Development-Version auch einen kurzen Überblick über die wesentlichen Bugfixes gibt (könnte man z.B. vor dem eigentlichen Update in der webGUI anzeigen). So könnten auch Nicht-Entwickler als "Beta-Tester" leichter ein Feedback geben - kann natürlich sein, dass man das nicht will  ;) Das hat nichts mit wollen zu tun, sondern der Art wie die Snapshots bereit gestellt werden. Es gibt keine "Dev Version" per se, sondern die Builds passieren automatisch über das Build System. Deshalb gibt es auch kein Changelog, was in welchem Daily Snapshot gefixt wurde, da es sein kann, dass ein Commit noch 5min vor einem AutoBuild mit reingepusht wird. Da der BuildBot einfach nur den aktuellen Baum auscheckt und baut, gibt es niemand, der sich hier vorher ein Diff zum Vortag anschaut oder auflistet, mit welchem Diff Stand der Vortag gebaut wurde.

Hmm muss ich nochmal kurz grübeln. RA und PD sind dafür zuständig, aber ob die pfSense so bereitstellen kann, dass sie dir da helfen ist wiederum das andere… nachdenk

Hallo, ja, wenn die Netzwerkkarte problemlos von FreeBSD unterstützt wird, kannst du sie über die GUI konfigurieren. Interfaces > (assign) Da sollte sie in der Zeile "Available network ports:" auswählbar sein, bzw. bereits ausgewählt sein, wenn es die einzige frei NIC ist. Daneben auf Add klicken, das neue Interface öffnen, den Rest erklärt die GUI.  :) Grüße

Hallo. Kurze Frage. Muss man diesen Code in "Diagnostics >  Command Prompt" ausführen? $config['system']['ip_change_kill_states'] = true; write_config(); Wenn ja, wo wird es hinterlegt/ gespeichert?

@viragomann: Wenn ja, ist dein Problem wohl das Outbound NAT. Dieses ist bei CARP manuell zu konfigurieren. Standardmäßig verwendet es immer die WAN-Adresse nach außen. Firewall > NAT > Outbound Vermutlich steht es im Automatic-Mode. Ändere diesem auf Manuell und ändere dann in den automatisch generierten Regeln für das WAN Interface die Translation address auf deine CARP-VIP. Das war die Lösung!  ;D Ich bedanke mich vielmals!!! Beste Grüße! K

Servus, ich komme leider nicht aufs Webinterface und vor Ort zu gehen, scheidet derzeit leider aus.

Bei Any sollte auch ICMP drin sein. Von wo hast du versucht zu Pingen Hinter der PfSense als Client oder vor der PfSense an einem anderen Internet Anschluss. Also Client hinter der PfSense kannst du die WAN Pingen weil der Eingang ja das LAN ist und nicht das WAN das wäre also normal.