Erstmal besten Dank für Eure Antworten. Die Aktivierung der Option "redirect gateway" hat zum gewünschten Ergebnis geführt. Manchmal sieht man den Wald vor lauter Bäumen nicht…

Der Thread wurde vom TO als Solved gekennzeichnet. Kommt selten vor, ist aber so….

Ja, danke, hilft mir schon mal weiter. Auch danke für die Verlinkung der Befehle (nopull habe ich heute tatsächlich aber auch gefunden, hätte gar nicht danach fragen brauchen, wenn ich mir die Einstellungen angeschaut hätte :-[).

@jahonix: Oh man, und ich habe gerade "Landkarte" gelesen.  :)… Vorsicht, wenn sich das häuft wirds Zeit für den Augendoc, bin jetzt bei Gleitsichtgläsern angelangt  8) -teddy

Moin @teddy, danke für die Tipps. Dies hier gefällt mir am besten: @magicteddy: 2.) Du reduzierst die Konfiguration der Fritte auf ein Minimum (Zugangsdaten) und hängst pfSense dahinter. Dann konfigurierst Du die Fritte als exposed Host. Alles was nicht für die Fritte bestimmt ist landet automatisch auf dem WAN Interface der pfSense. Komplette Konfiguration erfolgt auf der Seite von pfSense. Ich muß mir erst nochmal den Netzwerkaufbau vor Ort angucken - wieviele Interfaces ich brauche - und editiere diesen Post dann. Erstmal.

Morjen, wir bekommen immer die Meldung "No Valid Radius Server responses". Hintergrund: Captive Portal Voucher und FreeRadius soll verwendet werden (Lehrer sollen sich nur mit max 2 Geräten und einem User-Account anmelden können, alle anderen nur 1x) Radius alleine mit Radius-Usern funktioniert Captive Portal ohne Voucher mit lokalen Usern funktioniert Captive Portal mit Voucher funktioniert, nur nicht mit Radius und Voucher. DNS-Resolver ist aktiviert und funktioniert. Danke erst mal für eure Antworten und VG Horst

Gibt es noch einen anderen Ort, wo diese veralteten Information gespeichert sein könnten? Im iPhone? Schau doch mal nach, was im Netz angeboten wird, geht damit: https://www.macupdate.com/app/mac/13388/bonjour-browser (oder was vergleichbares direkt auf dem iPhone). Wenn "Wohnzimmer (2)" da nicht dabei ist, dann hat das iPhone das gecacht. -flo-

Ah! Da liegt das Problem, ich hab nämlich mit dem Wechsel zu pfSense auch den Pc gewechselt  :) Vielen dank!

Hi, hi , das war Spaß :-) Ich hab mit der Antwort gerechnet. Ich dachte es geht anders, ich hab den OpenWRT extra auf "dumb" gestellt, dass heisst der macht nichts mehr .. DCHP etc. geht alles über die PFSense und ich dachte, vielleicht gehts ja doch. Gruß Chris

Nachdem ich nach wie vor in dem Thema nicht weitergekommen bin habe ich mich nun mal durchgerungen und eine zweite PfSense aufgesetzt die ich vor die vorhandene gesetzt habe: Modem---------------[PPPoE---PfSense1---10.11.100.1]--------------[10.11.100.2---PfSense2---3 LAN-Netze]------------Clients Ich habe ein reines DSL-Modem. Die PfSense1 baut die PPPoE-Verbindung auf. Das LAN-Interface hat die IP 10.11.100.1 ohne DHCP-Server. Internet-Zugriff ist von diesem Punkt aus möglich. An der PfSense2 habe ich nun die IP 10.11.100.2 als IP-Adresse des WAN-Interfaces und die IP 10.11.100.1 als Gateway angegeben. DNS-Server ist nur auf PfSense2 aktiv. So weit so gut, die Clients am Ende der "Schlange" haben Internetzugriff, grundsätzlich funktioniert es! Nun ist es aber doch so, dass ich hier eine Double-NAT Situation habe. Wie schaffe ich es nun NAT auf die PfSense1 zu beschränken? Auf welcher PfSense würdet ihr den DNS-Server laufen lassen?

Da ich ihn nicht nutze, kann ich nur meine Vermutung äußern. Ich schätze, er forwarded alle Requests bis auf die, die du unter Host Override definiert hast. Also wird er auch nicht cachen. Für kleine Umgebung mit <10 Clients wirst du dich wahrscheinlich mehr über die "schlechte" Performance beim Resolver ärgern beim ersten Aufruf eines Hostnames. Hier: https://doc.pfsense.org/index.php/Unbound_DNS_Resolver und Hier: https://forum.pfsense.org/index.php?topic=113922.0 wird noch mal einiges geklärt und erklärt. Gerade beim Thema Forwarding und DNSSEC gibts ein paar Abhängigkeiten, die einem bewusst sein sollten, wenn man den DNS Resolver nutzen mag.

…und wenn die Übertragung von Innen initiiert wird, also klassisch etwas hochgeladen werden soll, dann kann das nur eine fehlende/falsche Rule auf dem Interface bedeuten. Gruß pfadmin

Hallo oder moin moin ;) ich stehe auch vor der "Herausforderung" dass ich mit einem FTP Client hinter der pfSense auf einen FTP-Server zugreifen möchte. Auf dem Client (Totalcommander bzw. FileZilla) habe ich jeweils passiver Mode eingestellt. Der anfängliche Verbindungsaufbau scheint auch zu gehen, bis das Verzeichnis aufgelistet wird. Status: Verbindung hergestellt, warte auf Willkommensnachricht… Status: Initialisiere TLS... Status: Überprüfe Zertifikat... Status: TLS-Verbindung hergestellt. Status: Angemeldet Status: Empfange Verzeichnisinhalt... Befehl: PWD Antwort: 257 "/" is the current directory Befehl: TYPE I Antwort: 200 Type set to I Befehl: PASV Antwort: 227 Entering Passive Mode (81,169,167,84,131,109). Befehl: MLSD Fehler: Die Datenverbindung konnte nicht hergestellt werden: ECONNREFUSED - Verbindung durch Server verweigert folgendes finde ich als "Block" in den Firewall-Logs: Apr 10 09:08:10 WAN 81.169.167.84:20 46.x.x.x:51986 TCP:S Apr 10 09:08:08 WAN 81.x.x.x:20         46.x.x.x:51986 TCP:S Apr 10 09:08:07 WAN 81.x.x.x:20         46.x.x.x:51986 TCP:S Apr 10 09:08:07 LAN 10.0.0.111:51985 81.x.x.x:55286 TCP:S Apr 10 09:08:06 LAN 10.0.0.111:51985 81.x.x.x:55286 TCP:S 81.x.x.x ist der FTP Server 46.x.x.x ist die IP meiner pfSense am WAN IF 10.0.0.111 ist der Client im LAN Ich habe ausgehend Port 20 und 21 sogar als UDP/TCP freigegeben. Was mache ich falsch???  :o >:( :( :-[ Vielen Dank. HilFi

Dies erlaubt leider den Zugriff auf alle Netze. Wenn ich als DESTINATION  nicht ANY sondern nur LAN(später WAN) angebe, funktioniert der Internetzugriff nicht. Welche Regeln fehlen ? Wie soll er auch funktionieren, wenn du Destination "LAN" setzt? Das würde ja heißen du erlaubst auf dem Gastnetz den Zugriff in dein LAN Subnetz. Du willst ins Internet. Ergo kann das kaum stimmen. Da du ins Internet willst und kaum alle IPs des Internets freigeben möchtest, musst du natürlich ANY als Destination für den Zugriff erlauben. Vorher aber eben noch Netze ausschließen, wo du die Clients des Gastnetzes nicht haben möchtest, also bspw. deine internen IPs im LAN oder anderen Netzen. Du kannst auch - wenn es bei dir geht - schlicht alle RFC1918 Adressen blocken. Also bspw. ein Block nach Destination 10/8, 172.16/12 und 192.168/16 machen. Vorher aber vielleicht - sofern die pfSense NTP/DNS etc. für das Netz macht - einen Allow auf deren IP machen. Sprich: allow any any <gästenetz_address>any -  (erlaube zugriff auf das pfSense interface im gästenetz für dns/dhcp/ntp etc.) block any any <alias_rfc1918>any  -  (blocke alle sonstigen internen Adressen) allow any any any any (erlaube den Rest aka zhe interwebz) ;) Grüße</alias_rfc1918></gästenetz_address>

Hallo, der pfSense kannst du das Problem wohl nicht anlasten, 450k States sollten für eine ganze Menge Rechner ausreichen. Du kannst die maximale Anzahl im Rahmen des Speichers noch weiter erhöhen, um einstweilen die Häufigkeit der Abbrüche zu reduzieren, das Problem ist aber vermutlich anderswo zu suchen. Bei dieser enormen Anzahl und vor allem diesem rasanten Traffic-Anstieg ist die Ursache wohl ein Übeltäter auf einem Rechner, der sehr viele Verbindungen in kurzer Zeit aufbaut, wie zum Beispiel ein Spambot. Die Verbindungen kannst du dir ja in Diagnostics > States ansehen. Vermutlich wirst du da kaum andere Verbindungen finden als die des Übeltäters. Also schau da einmal rein um herauszufinden von welchem Host wohin welche Verbindungen aufgebaut werden. Grüße

Danke! Wald vor lauter Bäumen…natürlich war's der falsche Gateway.

Boh geil!  8) Direkt übermorgen mal ausprobieren. Ich besorg mir erstmal einen 3. USB Stick. (install stick, boot stick, kopier vom boot stick - für wenn mal nix mehr geht) Hab nämlich "Enable Static ARP entries" bei Services > DHCP angeklickt. Was soll ich sagen… es macht GENAU das was da steht. "This option persists even if DHCP server is disabled. Only the machines listed below will be able to communicate with the firewall on this interface." Und schwups... ging nix mehr. Kabelmodem tot. Auf Console oder webinterface einloggen geht nie mehr. AUSSER von dem PC wo man vorher schon statisch hingeroutet hat. Von da aus konnte ich den Haken wieder entfernen und ich war gerettet. Aber ich hatte den Haken natürlich von einem ganz anderen Ort aus gesetzt und konnte mich ab da nicht mehr einloggen - und hab mich dann gewundert.  ;D Fehler sitzt immer VOR dem PC.  :D Danke! Roelli.

Ich beantworte mir die Frage hier mal schnell selbst, habe das SOLL-Szenario testweise nachgebaut, bisher funktioniert alles soweit. Die pfsense Firewall bekommt über das mgmt Interface Internetzugriff, kann also auch z.B. Softwareupdates etc. ziehen und die beiden Zonen trust und untrust werden transparent getrennt bzw. gefiltert.  8)