…und wenn die Übertragung von Innen initiiert wird, also klassisch etwas hochgeladen werden soll, dann kann das nur eine fehlende/falsche Rule auf dem Interface bedeuten. Gruß pfadmin

Hallo oder moin moin ;) ich stehe auch vor der "Herausforderung" dass ich mit einem FTP Client hinter der pfSense auf einen FTP-Server zugreifen möchte. Auf dem Client (Totalcommander bzw. FileZilla) habe ich jeweils passiver Mode eingestellt. Der anfängliche Verbindungsaufbau scheint auch zu gehen, bis das Verzeichnis aufgelistet wird. Status: Verbindung hergestellt, warte auf Willkommensnachricht… Status: Initialisiere TLS... Status: Überprüfe Zertifikat... Status: TLS-Verbindung hergestellt. Status: Angemeldet Status: Empfange Verzeichnisinhalt... Befehl: PWD Antwort: 257 "/" is the current directory Befehl: TYPE I Antwort: 200 Type set to I Befehl: PASV Antwort: 227 Entering Passive Mode (81,169,167,84,131,109). Befehl: MLSD Fehler: Die Datenverbindung konnte nicht hergestellt werden: ECONNREFUSED - Verbindung durch Server verweigert folgendes finde ich als "Block" in den Firewall-Logs: Apr 10 09:08:10 WAN 81.169.167.84:20 46.x.x.x:51986 TCP:S Apr 10 09:08:08 WAN 81.x.x.x:20         46.x.x.x:51986 TCP:S Apr 10 09:08:07 WAN 81.x.x.x:20         46.x.x.x:51986 TCP:S Apr 10 09:08:07 LAN 10.0.0.111:51985 81.x.x.x:55286 TCP:S Apr 10 09:08:06 LAN 10.0.0.111:51985 81.x.x.x:55286 TCP:S 81.x.x.x ist der FTP Server 46.x.x.x ist die IP meiner pfSense am WAN IF 10.0.0.111 ist der Client im LAN Ich habe ausgehend Port 20 und 21 sogar als UDP/TCP freigegeben. Was mache ich falsch???  :o >:( :( :-[ Vielen Dank. HilFi

Dies erlaubt leider den Zugriff auf alle Netze. Wenn ich als DESTINATION  nicht ANY sondern nur LAN(später WAN) angebe, funktioniert der Internetzugriff nicht. Welche Regeln fehlen ? Wie soll er auch funktionieren, wenn du Destination "LAN" setzt? Das würde ja heißen du erlaubst auf dem Gastnetz den Zugriff in dein LAN Subnetz. Du willst ins Internet. Ergo kann das kaum stimmen. Da du ins Internet willst und kaum alle IPs des Internets freigeben möchtest, musst du natürlich ANY als Destination für den Zugriff erlauben. Vorher aber eben noch Netze ausschließen, wo du die Clients des Gastnetzes nicht haben möchtest, also bspw. deine internen IPs im LAN oder anderen Netzen. Du kannst auch - wenn es bei dir geht - schlicht alle RFC1918 Adressen blocken. Also bspw. ein Block nach Destination 10/8, 172.16/12 und 192.168/16 machen. Vorher aber vielleicht - sofern die pfSense NTP/DNS etc. für das Netz macht - einen Allow auf deren IP machen. Sprich: allow any any <gästenetz_address>any -  (erlaube zugriff auf das pfSense interface im gästenetz für dns/dhcp/ntp etc.) block any any <alias_rfc1918>any  -  (blocke alle sonstigen internen Adressen) allow any any any any (erlaube den Rest aka zhe interwebz) ;) Grüße</alias_rfc1918></gästenetz_address>

Hallo, der pfSense kannst du das Problem wohl nicht anlasten, 450k States sollten für eine ganze Menge Rechner ausreichen. Du kannst die maximale Anzahl im Rahmen des Speichers noch weiter erhöhen, um einstweilen die Häufigkeit der Abbrüche zu reduzieren, das Problem ist aber vermutlich anderswo zu suchen. Bei dieser enormen Anzahl und vor allem diesem rasanten Traffic-Anstieg ist die Ursache wohl ein Übeltäter auf einem Rechner, der sehr viele Verbindungen in kurzer Zeit aufbaut, wie zum Beispiel ein Spambot. Die Verbindungen kannst du dir ja in Diagnostics > States ansehen. Vermutlich wirst du da kaum andere Verbindungen finden als die des Übeltäters. Also schau da einmal rein um herauszufinden von welchem Host wohin welche Verbindungen aufgebaut werden. Grüße

Danke! Wald vor lauter Bäumen…natürlich war's der falsche Gateway.

Boh geil!  8) Direkt übermorgen mal ausprobieren. Ich besorg mir erstmal einen 3. USB Stick. (install stick, boot stick, kopier vom boot stick - für wenn mal nix mehr geht) Hab nämlich "Enable Static ARP entries" bei Services > DHCP angeklickt. Was soll ich sagen… es macht GENAU das was da steht. "This option persists even if DHCP server is disabled. Only the machines listed below will be able to communicate with the firewall on this interface." Und schwups... ging nix mehr. Kabelmodem tot. Auf Console oder webinterface einloggen geht nie mehr. AUSSER von dem PC wo man vorher schon statisch hingeroutet hat. Von da aus konnte ich den Haken wieder entfernen und ich war gerettet. Aber ich hatte den Haken natürlich von einem ganz anderen Ort aus gesetzt und konnte mich ab da nicht mehr einloggen - und hab mich dann gewundert.  ;D Fehler sitzt immer VOR dem PC.  :D Danke! Roelli.

Ich beantworte mir die Frage hier mal schnell selbst, habe das SOLL-Szenario testweise nachgebaut, bisher funktioniert alles soweit. Die pfsense Firewall bekommt über das mgmt Interface Internetzugriff, kann also auch z.B. Softwareupdates etc. ziehen und die beiden Zonen trust und untrust werden transparent getrennt bzw. gefiltert.  8)

Also mittels SSH kann ich es verbinden aber wie schreibe ich das entsprechende php script ? Ich habe diesen Code gefunden der eine deaktivierte Regel aktiviert und die Änderungen übernimmt aber wenn ich es im WebGUI ausführen will kommt nur folgende Fehlermeldung: /bin/script_regel.php: global: not found /bin/script_regel.php: : not found /bin/script_regel.php: 2: Syntax error: word unexpected (expecting ")") Hier mal das Script: /Regel aktivieren/ global $config; parse_config(true); $config['filter']['rule']['71']['disabled'] = false; write_config(); exec(); require_once("config.inc"); require_once("functions.inc"); require_once("filter.inc"); require_once("shaper.inc"); require_once("ipsec.inc"); require_once("vpn.inc"); /* Änderungen übernehmen */ get_interface_arr(true); $retval = 0;                 $retval = filter_configure(); clear_subsystem_dirty('filter'); pfSense_handle_custom_code("/usr/local/pkg/firewall_rules/apply"); echo "The settings have been applied. The firewall rules are now reloading in the background.";

@Raffi: Ich würde gerne auf der pfSense snort und squid laufen lassen, geht das? Ist das Sinnvoll? Ob der Einsatz von sinnvoll ist hängt davon ab, was Du damit bezwecken willst.  ;) Squid (proxy) macht dann Sinn, wenn Du z.B. den Internetzugriff der User durch Sperrlisten beschränken (ACL's) oder cachen willst. Wenn Du das nicht willst, brauchst Du auch keinen Proxy. Snort als IPS macht m.E. nur Sinn, wenn man sich gut damit auskennt und die Meldungen auch zu deuten weiß. Sonst wirst Du von angeblichen 'Einbruchsversuchen' geradezu überrollt. Wenn Du keine Dienste über das Internet anbietest (z.B. FTP, HTTP, Email, usw.) und Du die Firewall nur als 'Deluxe-Ruoter' als Ersatz für eine FrtitzBox nutzt, macht snort m.E. keinen echten Sinn. @Raffi: Ist-Zustand: Standort A (VDSL100down-40up mit einer Fritz.box 7390) Standort B (VDSL50down-10up Fritz.box 7490) diese sind per Fritz.box VPN miteinander vernetzt. Soll-Zustand: die pfSense soll die Fritz.box ersetzen und die Fritz.box soll hinter der pfSense als TK-Anlage agieren. Hat einer diese Konstellation und kann mir Tipps geben? Warum nicht die Fritzbox weiter den Internetzugang/Telefonie machen lassen und die pfsense dahinter als Exposed Host!? Ist deutlich einfacher zu konfigurieren.  :)

Hey. Da ich viel Aliase verwende wird das ziemlich hässlich.  ;D Möglicherweise habe ich den "Fehler" auch schon gefunden. Nachdem ich die States alle gelöscht habe, konnte ich die genannte Verbindung nicht nochmal finden. Ich hatte für das Gerät kurzzeitig mal eine allow all Regel drin. Vielleicht ist dadurch die Verbindung offengeblieben? Wie lange bleiben die States den bestehen, da ich die VM sicherlich in der Zeit mal durchgestartet habe.

Ah my bad. Das hab ich tatsächlich überlesen. Danke für die Korrektur :)

Hallo, ich denke dir fehlen auf der  Clientseite die Outbound Regeln, siehe https://forum.pfsense.org/index.php?topic=76015.0 Gruss Peje

@JeGr an was hast du Gedacht ? Einen Provider zum Beherbergen deiner Rufnummern oder hauptsächlich zum raustelefonieren. Meine Rufnummern hab ich momentan gesplittet, ein Teil meiner Rufnummern liegt bei Dus.net und ein anderer bei Sipgate. Sipgate ist aber bei mehr als einer Nummer nur zu empfehlen, wenn du einen Asterisk Server betreibst. Ansonsten kannst du bei einem Basic Sipgate Anschluss nicht unterscheiden, auf welche Rufnummer angerufen wurde, weil du nur einen Sipaccount hast. Bei Dus sind es derweilen 5. Beide Provider verlangen für das Beherbergen der Rufnummer einmalig für das Portieren Geld. Ab dann kostet es nichts mehr. Da aber sowohl Sipgate als auch Dus nicht die günstigsten Verbindungspreise besitzen, kann ich für ausgehende Gespräche folgende Provider empfehlen… Wer eine preiswerte Festnetz-Flat benötigt, der kann sich mal bei Toplink-Xpress umsehen. Dort kostet die preiswerteste Flat 2,90€ (Eine Leitung als Analog Ersatz), 5,80€ (Zwei Leitungen als ISDN Ersatz) und 11,60€ (4 Leitungen) Für preiswertes Telefonieren (Fest und Mobil) ohne Flat, kann ich Voip2GSM empfehlen. 3,8ct/min ins Mobilfunknetz bzw 0,8ct/min ins Festnetz. Taktung ist 30/30 Beide Provider erlauben Clip no Screening, d.h. man kann die Ausgehende Rufnummer am Endgerät festlegen. (Ein Feature das nicht jeder anbietet.) Aber nur bei Toplink kannst du ne echte Nummer beantragen, oder portieren lassen. Falls man alles bei einem Provider haben möchte. Zickig ist meiner Erfahrung nach hauptsächlich Dus.net (Bei eingehenden Verbindungen). Aber wenn die Konfig passt, läuft auch Dus.net problemlos.

Vielen Dank, Ich habe es mit einzelnen virtuellen netzwerken hinbekommen, verzeiht mir bitte für meine schlechte beschreibung. mfg Kamil Danke :)

Danke geht wieder

Hey, danke, das war der entscheidende Tipp. Ich hatte in der OpenVPN Interface Gruppe eine Deny all Regel am Ende. (Ich weiß es ist nicht notwendig, aber ich leg die trotzdem immer an, damit ich den Deny Traffic sehe und irgendwie aus Gewohnheit ;D ) Da diese natürlich immer gegriffen hat, ist die pfSense nie in das VPN Interface gesprungen. Nachdem ich diese nun entfernt hat, funktioniert alles perfekt. Danke dir. Gruß Jerico

Danke für den Tipp hornetx11, mir fällt gerade ein das genau deswegen ein Schreiben ankam, in dem steht das wir auf wundersame Weise keine Zugangsdaten mehr benötigen  :o …weil mit BNG die Zugangskennung und das persönliche Kennwort für die PPPoE-Verbindung wegfallen. Es gibt dann eine Line-ID, die fest mit dem Anschluss verknüpft ist Also muss ich zwangsweise 2 Router mit den jeweiligen PBX noch vor meine pfSense schnallen? Dann kann ja alles außer die PCs gleich gekapert werden :P Besten Dank DTAG

@simpsonetti: Ein Ping geht aber noch nicht raus. Da muss ich noch eine weitere Regel einbauen? Scheint so, oder? Ping nutzt als Protokoll ICMP, da würde ich mal schauen.

Was meinst du mit dann werden einige Geräte ausgeblendet. ? Der gewählte Bereich ist aber schon innerhalb "available range"? 100 IPs sollten ja reichen, oder? Die Leases müssen aber eventuell gelöscht und die Geräte neu gestartet werden. Der Bereich muss nur in dem Subnetz des Interfaces liegen (IP und Maske), sonst ist es egal. 192.20.20.* ist allerdings keine gute Wahl, in diesem Bereich sind öffentliche Adressen. Ein privates Netz musst du schon wählen. https://de.wikipedia.org/wiki/Private_IP-Adresse

@viragomann: Hallo, mit dem "aktuellen Status" meinst du wohl den den Gateway-Status, der über dpinger ermittelt wird? Dieser wird aber auch in ein Log-File geschrieben, /var/log/gateway, und bleibt da bis das Log überschrieben wird. Die Historie lässt sich auch grafisch darstellen: Status > Monitoring > Gateways Falls nötig, lässt sich die Log-Größe auch erweitern, wenn du genug Speicherplatz hast, allerdings nur für alle Logs im gleichen Maß, doch sollte es beim Gateway ohnehin nicht so viel zu loggen geben, dass das so bald vollläuft. Ich glaube das ganze hat sich wohl etwas geändert: unter Status->Monitoring muss man in den Settings auf quality stellen und dann kann man beim Graph das GW aussuchen. Leider ist bei mir die Auflösung bei z.B. 1 Monat mit einer Stunde zu ungenau. Ich habe da einen externen Dienstleister nixstats.com und der zeigt mir das ganz gut an.