Ist eher ein generelles Verhalten (als Problem würde ich das nicht bezeichnen) von Statefull Inspection Firewalls. Diese Firewalls achten peinlichst darauf, dass der "State" stimmt, ehe sie ein Paket weiterleitchen. D.h. dass bei TCP genau das erwartete Paket passieren muss, ansonsten werden weitere blockiert, und erwartet wird das eben auch das Antwortpaket. https://de.wikipedia.org/wiki/Transmission_Control_Protocol#Daten.C3.BCbertragung Bei deiner weiteren Frage kann ich dir leider nicht helfen, da hab ich nicht die Erfahrung. Allerdings denke ich schon, dass das auch problemlos mit Loadbalancing läuft, hier werden ja die beiden Übertragungskanäle von einem Router verwaltet und dem wird es egal sein, aus welchem Tunnel das erwartete Paket raus kullert.

Ich habe seltsamerweise das gleiche Problem. Es tritt anscheinend nur von Telekomanschlüssen auf, wenn die mich anrufen und dort immer bei den gleichen Leuten. Es tritt auch auf, wenn ich mich selbst anrufe über meinen eigenen Anschluss. Meine Einstellungen entsprechen dem angepinnten Thread, wenn der Ruf nicht durchgeht sehe ich folgende Einträge im Log Apr 21 16:47:52 WANP0   <extip>  <meineöffentilicheip>UDP Apr 21 16:47:52 WANP0   <extip>:5060   <meineöffentilicheip>:5060 UDP Wenn ich kurz vorher raus telefoniere, würde ich vermuten, dass die Connection ja auch noch  besteht. Aber irgendwo scheint es zu haken, beim Anschluss handelt es sich um einen privaten FTTH-Anschluss ohne statische IP. Telekom Glasfasermodem => Pfsense 2.3 => Fritzbox 7490 mit aktuellster Firmware Hatte sonst vielleicht noch jemand das Problem und eine Lösung dafür?</meineöffentilicheip></extip></meineöffentilicheip></extip>

Vielen Dank für die Antwort. Ich habe jetzt die Einstellung getestet er downloadet zwar länger ohne Fehler aber er kommt dann trotzdem irgendwann. Mir kommt es so vor das pfSense dann nur über die eine Verbindung Traffic verursacht auch mit anderen Diensten gleichzeitig. Habe neben dem Download einen Twitch Stream mehrmals geöffnet der dann aber auch über das zweite WAN geht wie der Download. LG Jiao

Moin, mach doch erstmal eine Baustelle fertig  ;), der AP kann doch auch VLans, also schnell ein zusätzliches Vlan als Wlan Gastnetz angelegt, Interface daraus gebaut  und mit der Gast- SSID der APs verknüpfen, eigenen DHCP für dieses Interface einrichten, somit hast du schon mal ein abgetrenntes Gastnetz. Oder habe ich dich falsch verstanden? Oder Du schnupperst mal hier rein: https://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mit-einem-captive-portal-hotspot-funktion-91413.html -teddy

Hallo, also ich bin dann ein Stück weiter :). Jetzt bekommt pfSense zwar was es soll (Präfix - lag daran dass ich bei dem WAN Interface den Hacken bei "Request a IPv6 prefix/information through the IPv4 connectivity link" an hatte) ABER so richtig scheint es mir nicht zu sein. Ich habe APU2 bei dem an LAN1 zusätzlich 3 VLANS definiert sind.  Jetzt ist doch so, dass die 4 Interfaces gleiches Präfix haben. Das ist denke ich nicht im Sinne des Erfinders oder? [image: Interfaces.jpg] [image: Interfaces.jpg_thumb] [image: pfSense.jpg] [image: pfSense.jpg_thumb]

Hallo, das Problem ist gelöst, es waren veraltete einträge in der ARP Tabelle nach dem löschen der Einträge und Neustart der betroffenen PfSense funktioniert alles perfekt Danke

Hallo Forumsleser, habe nun soweit noch ein Update: Habe mit dem Hersteller Support der anderen Seite gesprochen: Netzbeziehungen von deren Seite korrekt ausgehandelt, welches sich zumindest auch mit den Einträgen in der Rubrik "SPDs" wiederspiegelt. Dort habe ich bei der PFSense (Community Edition) sowohl Inbound und Outbound zeigt Einträge für alle 4 Netze. Für die Child SA's habe ich nun feststellen können das bei geringerer Phase 2 Gültigkeitsdauer verspätet einige Child SA's eingetragen werden. Aber leider nicht alle. Was wir noch feststellen durften: Die PFSense scheint noch Meldungen über den Tunnel zu schicken "Payload malformed" Sagt das jemanden von euch etwas? Grüße Marcel

Erstmal besten Dank für Eure Antworten. Die Aktivierung der Option "redirect gateway" hat zum gewünschten Ergebnis geführt. Manchmal sieht man den Wald vor lauter Bäumen nicht…

Der Thread wurde vom TO als Solved gekennzeichnet. Kommt selten vor, ist aber so….

Ja, danke, hilft mir schon mal weiter. Auch danke für die Verlinkung der Befehle (nopull habe ich heute tatsächlich aber auch gefunden, hätte gar nicht danach fragen brauchen, wenn ich mir die Einstellungen angeschaut hätte :-[).

@jahonix: Oh man, und ich habe gerade "Landkarte" gelesen.  :)… Vorsicht, wenn sich das häuft wirds Zeit für den Augendoc, bin jetzt bei Gleitsichtgläsern angelangt  8) -teddy

Moin @teddy, danke für die Tipps. Dies hier gefällt mir am besten: @magicteddy: 2.) Du reduzierst die Konfiguration der Fritte auf ein Minimum (Zugangsdaten) und hängst pfSense dahinter. Dann konfigurierst Du die Fritte als exposed Host. Alles was nicht für die Fritte bestimmt ist landet automatisch auf dem WAN Interface der pfSense. Komplette Konfiguration erfolgt auf der Seite von pfSense. Ich muß mir erst nochmal den Netzwerkaufbau vor Ort angucken - wieviele Interfaces ich brauche - und editiere diesen Post dann. Erstmal.

Morjen, wir bekommen immer die Meldung "No Valid Radius Server responses". Hintergrund: Captive Portal Voucher und FreeRadius soll verwendet werden (Lehrer sollen sich nur mit max 2 Geräten und einem User-Account anmelden können, alle anderen nur 1x) Radius alleine mit Radius-Usern funktioniert Captive Portal ohne Voucher mit lokalen Usern funktioniert Captive Portal mit Voucher funktioniert, nur nicht mit Radius und Voucher. DNS-Resolver ist aktiviert und funktioniert. Danke erst mal für eure Antworten und VG Horst

Gibt es noch einen anderen Ort, wo diese veralteten Information gespeichert sein könnten? Im iPhone? Schau doch mal nach, was im Netz angeboten wird, geht damit: https://www.macupdate.com/app/mac/13388/bonjour-browser (oder was vergleichbares direkt auf dem iPhone). Wenn "Wohnzimmer (2)" da nicht dabei ist, dann hat das iPhone das gecacht. -flo-

Ah! Da liegt das Problem, ich hab nämlich mit dem Wechsel zu pfSense auch den Pc gewechselt  :) Vielen dank!

Hi, hi , das war Spaß :-) Ich hab mit der Antwort gerechnet. Ich dachte es geht anders, ich hab den OpenWRT extra auf "dumb" gestellt, dass heisst der macht nichts mehr .. DCHP etc. geht alles über die PFSense und ich dachte, vielleicht gehts ja doch. Gruß Chris

Nachdem ich nach wie vor in dem Thema nicht weitergekommen bin habe ich mich nun mal durchgerungen und eine zweite PfSense aufgesetzt die ich vor die vorhandene gesetzt habe: Modem---------------[PPPoE---PfSense1---10.11.100.1]--------------[10.11.100.2---PfSense2---3 LAN-Netze]------------Clients Ich habe ein reines DSL-Modem. Die PfSense1 baut die PPPoE-Verbindung auf. Das LAN-Interface hat die IP 10.11.100.1 ohne DHCP-Server. Internet-Zugriff ist von diesem Punkt aus möglich. An der PfSense2 habe ich nun die IP 10.11.100.2 als IP-Adresse des WAN-Interfaces und die IP 10.11.100.1 als Gateway angegeben. DNS-Server ist nur auf PfSense2 aktiv. So weit so gut, die Clients am Ende der "Schlange" haben Internetzugriff, grundsätzlich funktioniert es! Nun ist es aber doch so, dass ich hier eine Double-NAT Situation habe. Wie schaffe ich es nun NAT auf die PfSense1 zu beschränken? Auf welcher PfSense würdet ihr den DNS-Server laufen lassen?

Da ich ihn nicht nutze, kann ich nur meine Vermutung äußern. Ich schätze, er forwarded alle Requests bis auf die, die du unter Host Override definiert hast. Also wird er auch nicht cachen. Für kleine Umgebung mit <10 Clients wirst du dich wahrscheinlich mehr über die "schlechte" Performance beim Resolver ärgern beim ersten Aufruf eines Hostnames. Hier: https://doc.pfsense.org/index.php/Unbound_DNS_Resolver und Hier: https://forum.pfsense.org/index.php?topic=113922.0 wird noch mal einiges geklärt und erklärt. Gerade beim Thema Forwarding und DNSSEC gibts ein paar Abhängigkeiten, die einem bewusst sein sollten, wenn man den DNS Resolver nutzen mag.