Ich hätte jetzt auch vorgeschlagen, einen anderen Client zu testen. Im einfachsten Fall leistet man sich einen FireTV Stick, stöpselt den am TV an und prüft dann, ob der Stream einwandfrei funktioniert. Da Amazon keine speziellen Ports oder ähnliches nutzt, braucht man da auch keine Konfigurationsänderungen für. Sowohl Amazon, Netflix als auch Zattoo laufen problemlos per Standard-Konfiguration in der pfSense.

Möglich wäre das schon, man müsste die Platte dann entsprechend formatieren und mounten, damit sie dem System zur Verfügung steht und dann den TCPdump eben manuell auf der Konsole machen mit anderem Schreibziel. Die Frage stellt sich nur "warum". Ein TCPdump ist jetzt nichts, was man freundlich stundenlang mitlaufen lässt weil es auch für die Performance nur - sagen wir mal suboptimal - ist. Genau deshalb gibt es ja die Count Option, damit man nur ein paar Pakete aufnimmt zur Analyse.

Gruß

Ja genau,

ich habe es gestern auch noch mit dem einzelnen löschen probiert, doch leider auch ohne Erfolg.??

Danke für deine Antwort. Du warst eigentlich noch meine Hoffnung, dass es doch noch einen Weg gibt.

Schade, aber das wäre doch was für einen Feature-Request. PFSense teilt den Clients sofort nach der Zwangstrennung den neuen Präfix mit, ohne Rücksicht auf DHCPv6 Leasetime oder RA Lifetime.

Der Schwachsinn mit der Präfixänderung wird leider bleiben.

Du kannst testweise die FW ausschalten um zu sehen ob es an ihr liegt - allerdings ist dann auch NAT aus :

SystemAdvanced >Firewall & NAT

Disable Firewall:
Disable all packet filtering. Note: This converts pfSense into a routing only platform!
Note: This will also turn off NAT! To only disable NAT, and not firewall rules, visit the Outbound NAT page.

@viragomann:

Hallo!

Dazu gehe auf Interfaces > assign, wähle unter "available network ports" die VPN Instanz (Bsp. ovpnc1, ovpns1; wenn du der VPN-Instanz eine Beschreibung verpasst hast, taucht diese hier auch auf), klicke auf Add und dann auf das neue Interface, einen Haken noch bei Enable setzen und einen treffenden Namen vergeben und die Sache speichern. Selbiges für die 2. OVPN-Instanz.

Hallo viragomann

herzlichen Dank für den Tipp!
Genau das habe gesucht, weil ich wollte ja die Regeln erstellen aber konnte nicht genau bestimmen welchen VPN es betrifft.

Ging mir ähnlich bei a).  verstehen = hören und begreifen, diese Auffassung mit mir zu teilen scheint oft nicht selbstverständlich.

@simpsonetti:

Na auf das Gui der PFsense.

Bitte mache nicht das Web-Interface der pfSense im Internet zugänglich sondern baue dir dafür einen VPN Zugang (IPsec oder OpenVPN), wenn Dir die Sicherheit deines Netzes am Herzen liegt.

@BlueKobold:

System / Advanced / Miscellaneous -> Cryptographic Hardware ist auf AES-NI gesetzt.
CPU ist eine Intel(R) Xeon(R) CPU E3-1220 v5

Was machst Du Dir überhaupt Gedanken dazu!? Mit der CPU kannst Du alles machen was Du wilsst und es sollte alles funktionieren!
Damit hast Du 1 GBit/s am WAN, max. VPN Durchsatz und kannst pfSense als eine volle UTM betreiben, ohne Abstriche machen zu
müssen!

Ja das stimmt, ware einfach aus Interesse  :)

VPN Probleme am Glasfaseranschluss

Wenn man von unterwegs bzw. außerhalb mit einer IPv6 Adresse auf den Router oder die Firewall zu Hause zugreift sollte es keine
Probleme mehr geben!

Hallo, hab nu den Filter als Transparentes proxy zum laufen bekommen.

Squid & SquidGuard + OpenDNS schauen nach unerwünschten Inhalten und blocken diese mittels einer Seite
auf die man dann umgeleitet wird und die einem den Grund des Blockens mitteilt. Stichwort "Contentfilter"

Leider bringt es mir sehr wenig, wenn ich youtube aufmache sehe ich immernoch die werbung vor und wärend der Videos, genauso wie auf facebook, ebay etc.

Das kann mittels eines AddBlockers schnell in jedem neueren Browser unterdrückt werden! Und mittels Squid & SquidGuard + OpenDNS
sind dann auch Porno, Gewalt und unerwünschte Inhalte schnell unterdrückt!

Das ganze funktioniert aber da teilweise manche webseiten geblockt werden.

als Blacklist hab ich die hier http://www.shallalist.de/Downloads/shallalist.tar.gz

Noch einmal ein Contentfilter ist kein AddBlocker! Dann lieber zusätzlich pfBlockerNG & DNSBL das macht dann was Du willst bzw.
hier beschreibst oder was Du umsetzen möchtest!

hab auch schon andere listen probiert aber da isses genauso ..

Squid & SquidGuard sind für den Inhalt (Content) verantwortlich und pfBlockerNG & DNSBL sind dann für, Viren, Malware,
Adds, Spam und Werbung verantwortlich, die arbeiten super zusammen!

Ich dachte in den Listen sind die gleiche einstellungen wie bei adblock plus …... so bingt mir das nix da ich weiterhin auf jedem gerät nen adblocker brauche

Da liegst Du voll daneben! Denn erst einmal musst überhaupt etwas machen was auch dem entspricht was Du bezwecken möchtest
und nicht einfach irgend etwas installieren und einstellen was dazu gar nicht passt. Ich würde Dir zu folgendem raten wollen;

Squid & SquidGuard mit Benutzeranmeldung (nicht transparent) und Gerätehinterlegung (MAC > IP Bindung) Benutzergruppen bilden nach Alter und Erlaubnis usw… Benutzerverifizierung mittels OpenLDAP oder gar FreeRadius Server pfBlockerNG & DNSBL mit vielen Listen und leider dann auch viel RAM wenn es denn irgend wie möglich ist

Eine SG-4860 oder gar ein Supermicro C2758 sollten das locker routen mit den 500/500 MBit/s, und Pakete sollten sich
auch recht viele installieren lassen damit kommen die beiden Appliances genau so locker klar, bei mehr Reserve kann man
auch einen fertigen "Bare Bone" von Supermicro ins Auge fassen, auf dem dann je nach Wunsch auch ganz andere Sachen
locker laufen, also man kann dann ausprobieren was einem gefällt und Spaß macht bzw. womit man klar kommt.
Supermicro SYS-E300-8D
Supermicro SYS-E200-8D

Persönlich arbeite ich gerade selber mit einer Supermicro 2758 (produziert ab Dezember 2016) und konnte bis dato noch nicht
feststellen das ich damit an irgend eine Grenze gekommen bin. 16 GB für pfBlockerNG & DNSBL braucht nicht jeder klar, aber
man hat die Möglichkeit wenn man denn möchte bzw. es braucht.

APU LED Steuerung

(New driver) APU LED Support

Da würde ich ne Ausnahmebehandlung vom NAS machen. Ich bin mir gerade unschlüssig was der Impact intern wäre wenn da alle einfach KODs senden können, zumal sie es nicht müssten.

Grüße

@Karl:

@Micky008:

Hallo Karl,

beschäftige mich erst seit kurzem mit der pfsense, daher alles andere als ein Profi aber vielleicht hab ich einen Tipp für dich:

Services –> Squid Proxy Server --> Bypass Proxy for Private Address Destination --> aktivieren

Bei den Rules habe ich erst die Blockregeln und dann die Allow-Regeln angelegt, scheint bei mir zu funktionieren...

Poste doch mal ein paar Screenshots, falls das o.g. Häkchen keine Besserung bringt.

Grüße M.

Danke für den Tipp!
Diese Einstellung ist bei mir aktiviert.
Offenbar greift sich der squid den ausgehenden Traffic auf Port 80 noch vor allen für mich in der GUI sichtbaren Firewallregeln.
Wenn der squid-Dienst gestoppt wird, dann greifen die Regeln wieder.

Ich habe noch einmal im englischen Teil des Forums nachgesucht und folgenden Thread gefunden:
https://forum.pfsense.org/index.php?topic=129983.0

Die Antwort #3 https://forum.pfsense.org/index.php?topic=129983.msg716361#msg716361 ist die Quelle

"… Read /tmp/rules.debug to see the complete ruleset. None of the package-created or default pfSense rules are shown in the GUI."

In der betreffenden Datei befinden sich (bei mir in Zeile 75)  folgende Einträge:

Setup Squid proxy redirect

no rdr on rl0 proto tcp from any to { 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 } port 80
rdr pass on rl0 proto tcp from any to !(rl0) port 80 -> 127.0.0.1 port 3128

Die Benutzerregeln fangen erst 100 Zeilen später an.

In der GUI kann man irgendeine Regel für Port 80 definieren. Sie wird jedoch nicht funktionieren, weil der squid sich die entsprechenden Pakete schon weit vorher geschnappt hat.

Wenn ich in der GUI squid deaktiviere, fehlen die Einträge in der /tmp/rules.debug und die GUI-Regeln für Port 80 funktionieren wieder.

https://redmine.pfsense.org/

Super, freut mich!  :)

Wieder was dazu gelernt. Dann ist die Doku hier auch nicht mehr aktuell: https://doc.pfsense.org/index.php/OpenVPN_multi_purpose_single_server#OpenVPN_Client_specific_overrides
Ich verwende aber ohnehin auch heute noch /30er Subnetze als Standard.

Die Sache mit dem eigenen Server für die gewünschten Zwecke hier sehe ich auch so.

Grüße