Fürs Routing ist es aber die einfachste Lösung, wenn pfSense das Standard-Gateway ist.
Das sollte bei deinem Aufbau auch hinzubekommen sein.

Du hast nichts von deinem WAN-Netz der pfSense geschrieben, aber vermutlich ist das ein eigener Netzwerkbereich. Damit machst du dann also 2 NAT, am TCom Router und auf der pfSense.
Auf der pfSense ist einfach nur der Router als Default Gateway zu setzen, dann sollte es eigentlich schon funktionieren, wenn du sonst nicht verstellt hast.
D.h. wenn das Outbound NAT im Auto Modus arbeitet, setzt es eine Regel, die die Quelladresse ins WAN gehender Pakete auf pfSense WAN Adresse umsetzt.

@heydemar:

Mein Problem ist:

das wenn ich mein selbst erstelltes Stylesheet namens "captiveportal-style.css" (welche ich im Dateimanager hochgeladen habe) nicht von der HTML Datei eingebunden wird. In der HTML-Datei wird die Datei wie folgt angegeben:

Auf die Gefahr hin, dass Du das Problem schon gelöst hast:
Das Stylesheet wird bei mir eingebunden durch:

Ggf. beim Testen den Browsercache löschen!

@Multimania:

Wie würdet ihr den Traffic sichern?
HTTP Transparent und HTTPS verbieten und per WPAD/PAC die Clients dazu animieren über den Proxy zu gehen?
Funktioniert das mit IOS/Android und co?

Wenn Du HTTPS blockst, wirst Du wenig Freude erzeugen.
Inzwischen habe ich hier höchstens noch 25% HTTP-Traffic, der Rest ist HTTPS.

Du kannst alternativ/zusätzlich mit dem pfBlockerNG unabhängig vom Protokoll IP-Adressen blocken.

Prüfe, ob das Verhalten im nicht-transparenten Modus des squid auch auftritt.

Du hast sicherlich auch berücksichtigt, dass im transparenten Modus des squid sämtliche https-Seiten direkt (unter Umgehung des squid und squidguard) aufgerufen werden.
Insofern greift bei solchen Seiten die Filterung nicht.
Bei dem ständig steigenden Anteil von https-Seiten im Internet ist dieser Ansatz nicht unbedingt zielführend.
Bei meiner Installation mit mehreren Hundert potentiellen Nutzern ist aktuell das Verhältnis http zu https etwa 1/4.

@arnog:

Zum Thema Roaming: Das funktioniert, wenn du auf beiden Access Points die gleich SSID und das gleiche Passwort verwendest. Die Clients sind dann dafür verantwortlich, dass stärkere Netz zu verwenden.

Leider ist das kein echtes Roaming und funktioniert auch nicht besonders gut.

Unter Roaming versteht man die Fähigkeit des Netzes, die Clients auf den gerade sinnvollsten (meist stärksten) AP zu verschieben. Bei mehreren APs mit gleicher SSID & PWD muss das der Client selbst tun - und im Regelfall hängt er viel zu lange am aktuellen AP, auch wenn ein anderer bereits zu bevorzugen wäre. Ich habe daheim inzwischen 3 Ruckus APs in Betrieb. Seit der Controller verreckt ist laufen sie stand-alone. Ich kann damit leben, aber schön ist anders (am Smartphone muss ich regelmäßig das WLAN aus/ein schalten, um auf einen anderen AP zu wechseln…).

Roaming bekommst Du wirklich nur mit einem zu den APs passenden Controller hin.
Einer der AP Hardware Anbieter hatte seinen Software WiFI Controller für RPis schon einmal frei angeboten. Wer das war habe ich vergessen und ob es das noch gibt weiß ich nicht (Mikrotik oder Ubiquity vielleicht?)

@slu:

Laut einem Telekom Mitarbeiter wird beim SIP Trunk nur noch alle 180 Tage getrennt.

Keine Zwangstrennung mehr - sagte die Hotline. In der Tat auch 48 Stunden bisher ohne neue IP. Dyn-IP ist aber immer noch. Ich saß tatsächlich einem Irrtum auf. Nun gut…

Cool, danke für den Link. Irgendwie ging der bei meiner Suche unter…

Die Videokonferenzanlage soll vollkommen isoliert laufen ohne Zugriff auf das Hauptnetzt. Ist es hier angebracht die Anlage in eine DMZ mit eigener öffentlichen IP zu stellen?

Nein in ein eigenes VLAN. Ob das dann auch eine "DMZ" sein muss oder hier überhaupt eine public IP notwendig ist, sei mal dahingestellt. Aber ohne eigenes VLAN ist das Netz nicht isoliert.

Damit wäre natürlich der "Schutz" durch pfsense dahin.

Genau weshalb? hint Nein, ist er nicht.

Aber wie den PBX Server (eine Starface Anlage) den Zugang zum Netzt gewähren?

Warum sollte das ein Problem sein? Es hängt nur davon ab, wo die Starface eingebunden werden soll. Alles andere ist Konfigurationssache.

Gruß

Also es kann nur an der pfsense liegen.

Und wech. An der Stelle bitte lesen was Teddy sagt. 90% der Posts die mit dieser Aussage beginnen, enden mit einem Layer-8 Problem (PEBKAC). Oder sind zumindest zum Großteil pfSense irrelevant und schlichte Konfigurationsfehler, die nichts mit pfSense per se zu tun haben.

WTF? Sorry, aber warum will ich ein Konfigurationsmanagement Tool, das potentiellen Zugriff auf alles haben muss (auf Root Level) auf meiner Firewall haben die ja mein Netz mit der Außenwelt verbindet? Ein CM System sollte ganz tief im Management only Netz stehen und nur da. Das hat an irgendeinem Gerät mit WAN IMHO nichts zu suchen. Zumal meine ich, dass die pfSense da eh der schlechteste Kandidat ist, weil das System zwar theoretisch jedes Paket installieren kann, man auf einer Firewall aber auch herzlich wenig zusätzliche Dienste haben möchte, die potentielle Sicherheitslöcher beinhalten könnten. Zudem kommt, dass Puppet bzw. der Puppetmaster Server Zertifikatsmanagement machen will/muss und daher dann auch noch den HTTPS Port für sich benötigt.

Dass es keine Doku gibt, ist so nicht ganz richtig. Wie man startet oder bedient lernst du aus der Puppet Doku. Nur weil du das Paket auf der pfSense installiert hast, heißt das nicht, dass du jetzt eine GUI etc. dafür hast. Puppet ist kein pfSense Package, sondern lediglich ein ganz normales FreeBSD Paket und wenn du das installiert hast, hast du eben den Dienst auf der Kiste. Konfiguration und Start/Stop etc. musst du dann wie bei einem normalen nackten Server selbst übernehmen, da hat die Sense nix mit zu tun.

Gruß

…weiß also niemand was, wo ich die Default Leasetime runtersetzen kann ?

Jupp. Netgate hat wohl schon ein BIOS, allerdings eine alpha und die wollte ich in Anbetracht meiner sehr begrenzten Zeit nicht einspielen um zu testen.

Faszinierend, dass die eigentlich identische Technik unterschiedlich reagiert. Naja, Hauptsache Du kannst Dialoge und nicht nur Monologe führen  ;D

Hallo

vielen Dank, dann war ich wohl auf dem falschen Dampfer.
Ich bin davon ausgegangen das eine IP aus dem Bereich zugewiesen wird, den ich als Ziel angebe.

LG
Semonia

Das ist für BIOS Updates von Netgate Hardware. Kann man aber wohl auch für die APU2 benutzen.
https://forum.pfsense.org/index.php?topic=106444.msg716247#msg716247

Hallo Birke,

die open-vm-tools wurden über den package manager installiert.

Ich habe deine Idee mal umgesetzt, jedoch weiterhin ohne Erfolg.

Ich fürchte fast, dass sich eine saubere Neuinstallation nicht umgehen lässt (ein Backup der Einstellungen habe ich vor einiger Zeit in eine *.xml Datei exportiert).

Trotzdem besten Dank für eure Hilfe!

Hallo!

@KHR:

#Sollte ich im Menü unter "Interfaces –> WAN" die Funktion "Block private networks and loopback addresses" deaktivieren oder aktivieren?

Wenn du eingehende Verbindungen erlauben möchtest, musst du das deaktivieren. Vermutlich möchtest du das aber nicht, denn sonst wäre die dynamische WAN-Adresse auch nicht vernünftig. Ist die Funktion aktiv werden alle eingehenden Verbindungen am WAN Interface von privaten Netzen (RFC 1918) blockiert.
Für ausgehende Verbindungen ist die Einstellung irrelevant.

@KHR:

Was macht eigentlich unter "System –> Advanced --> Miscellaneous" bei "Installation Feedback" die Funktion Host UUID "Do NOT send HOST UUID with user agend"? Sendet pfSense irgendwelche Nutzerdaten an sich selbst? Kann man das irgendwie unterbinden?

Da bin ich überfragt. Die Einstellung ist mir bislang nicht aufgefallen.
Ich vermute mal, dass pfSense die Host UUID standardmäßig mit Abfragen nach Updates und Packages mitsendet.
Host UUID ist das, was in der aktuellen Version als "Netgate Unique ID" bezeichnet wird und ist, soweit mir bekannt, für deren Support wichtig.

Ok, scheise kein Backup.
Hätte mit dem Update warten müssen.
Bye bye Konfiguration und hallo Arbeit  :-[