Hallo pfadmin Danke für Deine Nachricht. Ich dachte, es wäre zwingend mindestens zwei VLANs zu definieren, wenn man zwei Netzwerksegmente anlegen möchte die keinen Zugriff aufeinander haben… Nun, wenn es ohne geht soll es mir recht sein. Ich habe Deine Anleitung weitestgehend umgesetzt und auf meinen Fall etwas angepasst. Und siehe da, es funktioniert! Jetzt muß ich irgendwie noch einen Traffic-Limiter auf LAN2 einstellen und dann ist alles gut. Danke! Johannes

Habe nun das code-Tag benutzt. :) Vielen Dank für Deine Tipps! Ich habe nun DNSSEC abgeschaltet, und es funktioniert. Die Alternative (nur Abschalten des DNS Query Forwardings) hat testweise ebenfalls geholfen. Dankeschön! :)

Egal ob als App direkt auf der NAS, als Debian VM, RasPi2 v2, oder ThinkerBoard; Als die bisher beste Lösung hat sich bei mir der CloudKey gezeigt. Der Name irritiert, da ein Cloud beitritt nicht zwingend ist. M.m.n wäre UniFiKey passender gewesen. Doch dies nur so am rande. Im wesentlichen handelt es sich dabei um eine Leistungsfähiges ARM Board -Cortex-A7 (ARMv7, 32-bit) Quad Core @ 1.3 Ghz- welches über PoE (48V 802.3af) gespeist werden kann, und mit einer angepassten Firmware installiert ist, welche wiederum auf Debian & MongoDB aufsetzt. Ansonsten würde ich auf den RasPi setzen, da das OS vom ThinkerBoard nicht so Server-like ist, und erst in dritter Instanz auf die VM setzen. Auch wichtig: Für was auch immer man sich entscheidet, man hat es immer mit Debian & MongoDB zu tun. ;)

Noch eine bzw. eine andere Frage: Ich hab momentan das Problem, das meine Instanzen außen nicht erreichbar sind. Sobald ich meine 7490 neu starte geht wieder alles sofort und ohne Fehler. Ich gehe von einem Problem der 7490 aus. Nun denke ich, da ich die ganzen Funktionen sowieso nicht brauche, denke ich gleich nach einer anderen Lösung. Ein reines Modem. Etwa das Draytek Vigor 130. Die frage ist nur, wie binde ich dann mein Telefon ein? Momentan habe ich es auf der 7490 angemeldet. Ich habe nur ein Telefon mit einer Nummer.

Moin, nö, alles gut Hornetx11

Ich hätte jetzt auch vorgeschlagen, einen anderen Client zu testen. Im einfachsten Fall leistet man sich einen FireTV Stick, stöpselt den am TV an und prüft dann, ob der Stream einwandfrei funktioniert. Da Amazon keine speziellen Ports oder ähnliches nutzt, braucht man da auch keine Konfigurationsänderungen für. Sowohl Amazon, Netflix als auch Zattoo laufen problemlos per Standard-Konfiguration in der pfSense.

Möglich wäre das schon, man müsste die Platte dann entsprechend formatieren und mounten, damit sie dem System zur Verfügung steht und dann den TCPdump eben manuell auf der Konsole machen mit anderem Schreibziel. Die Frage stellt sich nur "warum". Ein TCPdump ist jetzt nichts, was man freundlich stundenlang mitlaufen lässt weil es auch für die Performance nur - sagen wir mal suboptimal - ist. Genau deshalb gibt es ja die Count Option, damit man nur ein paar Pakete aufnimmt zur Analyse. Gruß

Ja genau, ich habe es gestern auch noch mit dem einzelnen löschen probiert, doch leider auch ohne Erfolg.??

Danke für deine Antwort. Du warst eigentlich noch meine Hoffnung, dass es doch noch einen Weg gibt. Schade, aber das wäre doch was für einen Feature-Request. PFSense teilt den Clients sofort nach der Zwangstrennung den neuen Präfix mit, ohne Rücksicht auf DHCPv6 Leasetime oder RA Lifetime. Der Schwachsinn mit der Präfixänderung wird leider bleiben.

Du kannst testweise die FW ausschalten um zu sehen ob es an ihr liegt - allerdings ist dann auch NAT aus : SystemAdvanced >Firewall & NAT Disable Firewall: Disable all packet filtering. Note: This converts pfSense into a routing only platform! Note: This will also turn off NAT! To only disable NAT, and not firewall rules, visit the Outbound NAT page.

@viragomann: Hallo! Dazu gehe auf Interfaces > assign, wähle unter "available network ports" die VPN Instanz (Bsp. ovpnc1, ovpns1; wenn du der VPN-Instanz eine Beschreibung verpasst hast, taucht diese hier auch auf), klicke auf Add und dann auf das neue Interface, einen Haken noch bei Enable setzen und einen treffenden Namen vergeben und die Sache speichern. Selbiges für die 2. OVPN-Instanz. Hallo viragomann herzlichen Dank für den Tipp! Genau das habe gesucht, weil ich wollte ja die Regeln erstellen aber konnte nicht genau bestimmen welchen VPN es betrifft.

Ging mir ähnlich bei a).  verstehen = hören und begreifen, diese Auffassung mit mir zu teilen scheint oft nicht selbstverständlich.

@simpsonetti: Na auf das Gui der PFsense. Bitte mache nicht das Web-Interface der pfSense im Internet zugänglich sondern baue dir dafür einen VPN Zugang (IPsec oder OpenVPN), wenn Dir die Sicherheit deines Netzes am Herzen liegt.

@BlueKobold: System / Advanced / Miscellaneous -> Cryptographic Hardware ist auf AES-NI gesetzt. CPU ist eine Intel(R) Xeon(R) CPU E3-1220 v5 Was machst Du Dir überhaupt Gedanken dazu!? Mit der CPU kannst Du alles machen was Du wilsst und es sollte alles funktionieren! Damit hast Du 1 GBit/s am WAN, max. VPN Durchsatz und kannst pfSense als eine volle UTM betreiben, ohne Abstriche machen zu müssen! Ja das stimmt, ware einfach aus Interesse  :)

VPN Probleme am Glasfaseranschluss Wenn man von unterwegs bzw. außerhalb mit einer IPv6 Adresse auf den Router oder die Firewall zu Hause zugreift sollte es keine Probleme mehr geben!

Hallo, hab nu den Filter als Transparentes proxy zum laufen bekommen. Squid & SquidGuard + OpenDNS schauen nach unerwünschten Inhalten und blocken diese mittels einer Seite auf die man dann umgeleitet wird und die einem den Grund des Blockens mitteilt. Stichwort "Contentfilter" Leider bringt es mir sehr wenig, wenn ich youtube aufmache sehe ich immernoch die werbung vor und wärend der Videos, genauso wie auf facebook, ebay etc. Das kann mittels eines AddBlockers schnell in jedem neueren Browser unterdrückt werden! Und mittels Squid & SquidGuard + OpenDNS sind dann auch Porno, Gewalt und unerwünschte Inhalte schnell unterdrückt! Das ganze funktioniert aber da teilweise manche webseiten geblockt werden. als Blacklist hab ich die hier http://www.shallalist.de/Downloads/shallalist.tar.gz Noch einmal ein Contentfilter ist kein AddBlocker! Dann lieber zusätzlich pfBlockerNG & DNSBL das macht dann was Du willst bzw. hier beschreibst oder was Du umsetzen möchtest! hab auch schon andere listen probiert aber da isses genauso .. Squid & SquidGuard sind für den Inhalt (Content) verantwortlich und pfBlockerNG & DNSBL sind dann für, Viren, Malware, Adds, Spam und Werbung verantwortlich, die arbeiten super zusammen! Ich dachte in den Listen sind die gleiche einstellungen wie bei adblock plus …... so bingt mir das nix da ich weiterhin auf jedem gerät nen adblocker brauche Da liegst Du voll daneben! Denn erst einmal musst überhaupt etwas machen was auch dem entspricht was Du bezwecken möchtest und nicht einfach irgend etwas installieren und einstellen was dazu gar nicht passt. Ich würde Dir zu folgendem raten wollen; Squid & SquidGuard mit Benutzeranmeldung (nicht transparent) und Gerätehinterlegung (MAC > IP Bindung) Benutzergruppen bilden nach Alter und Erlaubnis usw… Benutzerverifizierung mittels OpenLDAP oder gar FreeRadius Server pfBlockerNG & DNSBL mit vielen Listen und leider dann auch viel RAM wenn es denn irgend wie möglich ist

Eine SG-4860 oder gar ein Supermicro C2758 sollten das locker routen mit den 500/500 MBit/s, und Pakete sollten sich auch recht viele installieren lassen damit kommen die beiden Appliances genau so locker klar, bei mehr Reserve kann man auch einen fertigen "Bare Bone" von Supermicro ins Auge fassen, auf dem dann je nach Wunsch auch ganz andere Sachen locker laufen, also man kann dann ausprobieren was einem gefällt und Spaß macht bzw. womit man klar kommt. Supermicro SYS-E300-8D Supermicro SYS-E200-8D Persönlich arbeite ich gerade selber mit einer Supermicro 2758 (produziert ab Dezember 2016) und konnte bis dato noch nicht feststellen das ich damit an irgend eine Grenze gekommen bin. 16 GB für pfBlockerNG & DNSBL braucht nicht jeder klar, aber man hat die Möglichkeit wenn man denn möchte bzw. es braucht.

APU LED Steuerung (New driver) APU LED Support

Da würde ich ne Ausnahmebehandlung vom NAS machen. Ich bin mir gerade unschlüssig was der Impact intern wäre wenn da alle einfach KODs senden können, zumal sie es nicht müssten. Grüße

@Karl: @Micky008: Hallo Karl, beschäftige mich erst seit kurzem mit der pfsense, daher alles andere als ein Profi aber vielleicht hab ich einen Tipp für dich: Services –> Squid Proxy Server --> Bypass Proxy for Private Address Destination --> aktivieren Bei den Rules habe ich erst die Blockregeln und dann die Allow-Regeln angelegt, scheint bei mir zu funktionieren... Poste doch mal ein paar Screenshots, falls das o.g. Häkchen keine Besserung bringt. Grüße M. Danke für den Tipp! Diese Einstellung ist bei mir aktiviert. Offenbar greift sich der squid den ausgehenden Traffic auf Port 80 noch vor allen für mich in der GUI sichtbaren Firewallregeln. Wenn der squid-Dienst gestoppt wird, dann greifen die Regeln wieder. Ich habe noch einmal im englischen Teil des Forums nachgesucht und folgenden Thread gefunden: https://forum.pfsense.org/index.php?topic=129983.0 Die Antwort #3 https://forum.pfsense.org/index.php?topic=129983.msg716361#msg716361 ist die Quelle "… Read /tmp/rules.debug to see the complete ruleset. None of the package-created or default pfSense rules are shown in the GUI." In der betreffenden Datei befinden sich (bei mir in Zeile 75)  folgende Einträge: Setup Squid proxy redirect no rdr on rl0 proto tcp from any to { 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 } port 80 rdr pass on rl0 proto tcp from any to !(rl0) port 80 -> 127.0.0.1 port 3128 Die Benutzerregeln fangen erst 100 Zeilen später an. In der GUI kann man irgendeine Regel für Port 80 definieren. Sie wird jedoch nicht funktionieren, weil der squid sich die entsprechenden Pakete schon weit vorher geschnappt hat. Wenn ich in der GUI squid deaktiviere, fehlen die Einträge in der /tmp/rules.debug und die GUI-Regeln für Port 80 funktionieren wieder.