@BlueKobold: System / Advanced / Miscellaneous -> Cryptographic Hardware ist auf AES-NI gesetzt. CPU ist eine Intel(R) Xeon(R) CPU E3-1220 v5 Was machst Du Dir überhaupt Gedanken dazu!? Mit der CPU kannst Du alles machen was Du wilsst und es sollte alles funktionieren! Damit hast Du 1 GBit/s am WAN, max. VPN Durchsatz und kannst pfSense als eine volle UTM betreiben, ohne Abstriche machen zu müssen! Ja das stimmt, ware einfach aus Interesse  :)

VPN Probleme am Glasfaseranschluss Wenn man von unterwegs bzw. außerhalb mit einer IPv6 Adresse auf den Router oder die Firewall zu Hause zugreift sollte es keine Probleme mehr geben!

Hallo, hab nu den Filter als Transparentes proxy zum laufen bekommen. Squid & SquidGuard + OpenDNS schauen nach unerwünschten Inhalten und blocken diese mittels einer Seite auf die man dann umgeleitet wird und die einem den Grund des Blockens mitteilt. Stichwort "Contentfilter" Leider bringt es mir sehr wenig, wenn ich youtube aufmache sehe ich immernoch die werbung vor und wärend der Videos, genauso wie auf facebook, ebay etc. Das kann mittels eines AddBlockers schnell in jedem neueren Browser unterdrückt werden! Und mittels Squid & SquidGuard + OpenDNS sind dann auch Porno, Gewalt und unerwünschte Inhalte schnell unterdrückt! Das ganze funktioniert aber da teilweise manche webseiten geblockt werden. als Blacklist hab ich die hier http://www.shallalist.de/Downloads/shallalist.tar.gz Noch einmal ein Contentfilter ist kein AddBlocker! Dann lieber zusätzlich pfBlockerNG & DNSBL das macht dann was Du willst bzw. hier beschreibst oder was Du umsetzen möchtest! hab auch schon andere listen probiert aber da isses genauso .. Squid & SquidGuard sind für den Inhalt (Content) verantwortlich und pfBlockerNG & DNSBL sind dann für, Viren, Malware, Adds, Spam und Werbung verantwortlich, die arbeiten super zusammen! Ich dachte in den Listen sind die gleiche einstellungen wie bei adblock plus …... so bingt mir das nix da ich weiterhin auf jedem gerät nen adblocker brauche Da liegst Du voll daneben! Denn erst einmal musst überhaupt etwas machen was auch dem entspricht was Du bezwecken möchtest und nicht einfach irgend etwas installieren und einstellen was dazu gar nicht passt. Ich würde Dir zu folgendem raten wollen; Squid & SquidGuard mit Benutzeranmeldung (nicht transparent) und Gerätehinterlegung (MAC > IP Bindung) Benutzergruppen bilden nach Alter und Erlaubnis usw… Benutzerverifizierung mittels OpenLDAP oder gar FreeRadius Server pfBlockerNG & DNSBL mit vielen Listen und leider dann auch viel RAM wenn es denn irgend wie möglich ist

Eine SG-4860 oder gar ein Supermicro C2758 sollten das locker routen mit den 500/500 MBit/s, und Pakete sollten sich auch recht viele installieren lassen damit kommen die beiden Appliances genau so locker klar, bei mehr Reserve kann man auch einen fertigen "Bare Bone" von Supermicro ins Auge fassen, auf dem dann je nach Wunsch auch ganz andere Sachen locker laufen, also man kann dann ausprobieren was einem gefällt und Spaß macht bzw. womit man klar kommt. Supermicro SYS-E300-8D Supermicro SYS-E200-8D Persönlich arbeite ich gerade selber mit einer Supermicro 2758 (produziert ab Dezember 2016) und konnte bis dato noch nicht feststellen das ich damit an irgend eine Grenze gekommen bin. 16 GB für pfBlockerNG & DNSBL braucht nicht jeder klar, aber man hat die Möglichkeit wenn man denn möchte bzw. es braucht.

APU LED Steuerung (New driver) APU LED Support

Da würde ich ne Ausnahmebehandlung vom NAS machen. Ich bin mir gerade unschlüssig was der Impact intern wäre wenn da alle einfach KODs senden können, zumal sie es nicht müssten. Grüße

@Karl: @Micky008: Hallo Karl, beschäftige mich erst seit kurzem mit der pfsense, daher alles andere als ein Profi aber vielleicht hab ich einen Tipp für dich: Services –> Squid Proxy Server --> Bypass Proxy for Private Address Destination --> aktivieren Bei den Rules habe ich erst die Blockregeln und dann die Allow-Regeln angelegt, scheint bei mir zu funktionieren... Poste doch mal ein paar Screenshots, falls das o.g. Häkchen keine Besserung bringt. Grüße M. Danke für den Tipp! Diese Einstellung ist bei mir aktiviert. Offenbar greift sich der squid den ausgehenden Traffic auf Port 80 noch vor allen für mich in der GUI sichtbaren Firewallregeln. Wenn der squid-Dienst gestoppt wird, dann greifen die Regeln wieder. Ich habe noch einmal im englischen Teil des Forums nachgesucht und folgenden Thread gefunden: https://forum.pfsense.org/index.php?topic=129983.0 Die Antwort #3 https://forum.pfsense.org/index.php?topic=129983.msg716361#msg716361 ist die Quelle "… Read /tmp/rules.debug to see the complete ruleset. None of the package-created or default pfSense rules are shown in the GUI." In der betreffenden Datei befinden sich (bei mir in Zeile 75)  folgende Einträge: Setup Squid proxy redirect no rdr on rl0 proto tcp from any to { 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 } port 80 rdr pass on rl0 proto tcp from any to !(rl0) port 80 -> 127.0.0.1 port 3128 Die Benutzerregeln fangen erst 100 Zeilen später an. In der GUI kann man irgendeine Regel für Port 80 definieren. Sie wird jedoch nicht funktionieren, weil der squid sich die entsprechenden Pakete schon weit vorher geschnappt hat. Wenn ich in der GUI squid deaktiviere, fehlen die Einträge in der /tmp/rules.debug und die GUI-Regeln für Port 80 funktionieren wieder.

https://redmine.pfsense.org/

Super, freut mich!  :)

Wieder was dazu gelernt. Dann ist die Doku hier auch nicht mehr aktuell: https://doc.pfsense.org/index.php/OpenVPN_multi_purpose_single_server#OpenVPN_Client_specific_overrides Ich verwende aber ohnehin auch heute noch /30er Subnetze als Standard. Die Sache mit dem eigenen Server für die gewünschten Zwecke hier sehe ich auch so. Grüße

Fürs Routing ist es aber die einfachste Lösung, wenn pfSense das Standard-Gateway ist. Das sollte bei deinem Aufbau auch hinzubekommen sein. Du hast nichts von deinem WAN-Netz der pfSense geschrieben, aber vermutlich ist das ein eigener Netzwerkbereich. Damit machst du dann also 2 NAT, am TCom Router und auf der pfSense. Auf der pfSense ist einfach nur der Router als Default Gateway zu setzen, dann sollte es eigentlich schon funktionieren, wenn du sonst nicht verstellt hast. D.h. wenn das Outbound NAT im Auto Modus arbeitet, setzt es eine Regel, die die Quelladresse ins WAN gehender Pakete auf pfSense WAN Adresse umsetzt.

@heydemar: Mein Problem ist: das wenn ich mein selbst erstelltes Stylesheet namens "captiveportal-style.css" (welche ich im Dateimanager hochgeladen habe) nicht von der HTML Datei eingebunden wird. In der HTML-Datei wird die Datei wie folgt angegeben: Auf die Gefahr hin, dass Du das Problem schon gelöst hast: Das Stylesheet wird bei mir eingebunden durch: Ggf. beim Testen den Browsercache löschen!

@Multimania: Wie würdet ihr den Traffic sichern? HTTP Transparent und HTTPS verbieten und per WPAD/PAC die Clients dazu animieren über den Proxy zu gehen? Funktioniert das mit IOS/Android und co? Wenn Du HTTPS blockst, wirst Du wenig Freude erzeugen. Inzwischen habe ich hier höchstens noch 25% HTTP-Traffic, der Rest ist HTTPS. Du kannst alternativ/zusätzlich mit dem pfBlockerNG unabhängig vom Protokoll IP-Adressen blocken.

Prüfe, ob das Verhalten im nicht-transparenten Modus des squid auch auftritt. Du hast sicherlich auch berücksichtigt, dass im transparenten Modus des squid sämtliche https-Seiten direkt (unter Umgehung des squid und squidguard) aufgerufen werden. Insofern greift bei solchen Seiten die Filterung nicht. Bei dem ständig steigenden Anteil von https-Seiten im Internet ist dieser Ansatz nicht unbedingt zielführend. Bei meiner Installation mit mehreren Hundert potentiellen Nutzern ist aktuell das Verhältnis http zu https etwa 1/4.

@arnog: Zum Thema Roaming: Das funktioniert, wenn du auf beiden Access Points die gleich SSID und das gleiche Passwort verwendest. Die Clients sind dann dafür verantwortlich, dass stärkere Netz zu verwenden. Leider ist das kein echtes Roaming und funktioniert auch nicht besonders gut. Unter Roaming versteht man die Fähigkeit des Netzes, die Clients auf den gerade sinnvollsten (meist stärksten) AP zu verschieben. Bei mehreren APs mit gleicher SSID & PWD muss das der Client selbst tun - und im Regelfall hängt er viel zu lange am aktuellen AP, auch wenn ein anderer bereits zu bevorzugen wäre. Ich habe daheim inzwischen 3 Ruckus APs in Betrieb. Seit der Controller verreckt ist laufen sie stand-alone. Ich kann damit leben, aber schön ist anders (am Smartphone muss ich regelmäßig das WLAN aus/ein schalten, um auf einen anderen AP zu wechseln…). Roaming bekommst Du wirklich nur mit einem zu den APs passenden Controller hin. Einer der AP Hardware Anbieter hatte seinen Software WiFI Controller für RPis schon einmal frei angeboten. Wer das war habe ich vergessen und ob es das noch gibt weiß ich nicht (Mikrotik oder Ubiquity vielleicht?)

@slu: Laut einem Telekom Mitarbeiter wird beim SIP Trunk nur noch alle 180 Tage getrennt. Keine Zwangstrennung mehr - sagte die Hotline. In der Tat auch 48 Stunden bisher ohne neue IP. Dyn-IP ist aber immer noch. Ich saß tatsächlich einem Irrtum auf. Nun gut…

Cool, danke für den Link. Irgendwie ging der bei meiner Suche unter…

Die Videokonferenzanlage soll vollkommen isoliert laufen ohne Zugriff auf das Hauptnetzt. Ist es hier angebracht die Anlage in eine DMZ mit eigener öffentlichen IP zu stellen? Nein in ein eigenes VLAN. Ob das dann auch eine "DMZ" sein muss oder hier überhaupt eine public IP notwendig ist, sei mal dahingestellt. Aber ohne eigenes VLAN ist das Netz nicht isoliert. Damit wäre natürlich der "Schutz" durch pfsense dahin. Genau weshalb? hint Nein, ist er nicht. Aber wie den PBX Server (eine Starface Anlage) den Zugang zum Netzt gewähren? Warum sollte das ein Problem sein? Es hängt nur davon ab, wo die Starface eingebunden werden soll. Alles andere ist Konfigurationssache. Gruß