Nein, dem VPN Interface ist kein Netzwerk zuzuordnen. Einfach die VPN Instanz auswählen, Add klicken, das neue Interface öffnen, aktivieren und eine vernünftigen Namen geben. Keine IP, weder für einen Server noch für einen Client! Wie gesagt, gesonderte VPN Interfaces sind nur für spezielles Routing in die VPN erforderlich. Ja, wenn du einer VPN-Instanz ein Interface zuweist, kannst du die Regeln, sowohl auf der Interface-Gruppe als auch am spezifischen Interface setzen. Einer der beiden Regelsätze erhält wohl den Vorzug. D.h. trifft eine Regel daraus auf ein Paket zu, werden die übrigen Regeln, also auch der gesamte andere Regelsatz, ignoriert. Welche den Vorzug erhält, weiß ich jetzt aber nicht, ich verwende nicht beides. Lässt sich aber bestimmt in der Doc nachlesen. Wenn du die Regeln so setzt, dass ohnehin nicht Regeln aus beiden Regelsätzen zutreffen können, erübrigt sich diese Frage.

Alles schon ausprobiert..Wenn der PC startet blinken die Ports der Karte nur kurz auf.

Hallo, ich kenne das Regelwerk sonst nur von LANCOM. pfSense ist da ja wirklich näher an der Technik/Logic. Danke für eure Hilfe!

Danke für die Hilfe, ich mache das ganze nur per VLAN.

Installiere dein WLAN Equipment ordentlich, dann hast du mehr davon! Zu behaupten, dass es völlig egal ist, wie du den AP anbaust, ohne Kenntnis der Örtlichkeiten ist schon mutig! Der UPA-AC-Lite ist ein 2x2 Gerät mit 20dBm bei 2,4 und 5GHz und 3dBi Antennen Der UPA-AC-LR ist ein 3x3 mit 24dBm bei 2,4GHz und 3dBi Antenne bzw. 2x2 mit 22dBm und 6dBi bei 5GHz Der UAP-AC ist ein 3x3 mit 23dBm bei 2,4GHz und 5dBi Antenne bzw. 3x3 mit 23dBm und 5dBi bei 5GHz Der UAP-AC-Pro ist ein 3x3 mit 22dBm bei 2,4GHz und 3dBi antenne bzw. 3x3 mit 22dBm und 6dBi bei 5GHz Die Geräte unterscheiden sich für dich bei Einhaltung der Norm also in den möglichen Streams und den Antennengewinnen sowie in der Leistung im 5GHz Band (bis 1000mW statt 100mW). Die Antennen wirken sich im Winkel der abgestrahlten Leistung aus, ebenso die Empfangsrichtung. Hier kannst du also den Nachbarn einfangen oder eher nicht. 6dBi mehr oder weniger bedeuten bei dir vielleicht Empfang oder auch nicht mehr. Plane vorher! Zum E-Smog: benutzt du ein Handy am Ohr? Da sind bis zu 2Watt erlaubt… Zur Nat Geschicht. Ich habe hier in meinem Netz sogar dreimal NAT hintereinander. Ist so gewachsen und funktioniert tadellos (ohne SIP, mit Skype, ohne IPTV). Schön ist es trotzdem nicht und ich hoffe es eitert bald raus! Grüße pfadmin

Der WAN Part.

Diese Frage kannst du schon selbst klären. Du hast RFC 1918 Adressen am WAN geblockt. Fällt deine WAN IP da rein?? Das könnte die Ursache für dein Problem sein. Ansonsten versichere dich, dass die Server-Firewall nicht die Zugriffe blockt. Du kannst auch Packet Capture vom Diagnostic Menü einsetzen, um zu sehen, welche Pakete an welchem pfSense Interface ankommen und rausgehen.

.221 war ein c&p Fehler ;) Wo verschwindet dann das Paket?

Guten Tag, dann müßte ja unbound diese per DHCP (Schnittstelle opt1) und per PPPoE (wan) zugewiesenen DNS-Server als Forwarder eingetragen haben. Ansonsten werden diese Server in die Datei /etc/resolv.conf eingetragen.

Mittlerweile bin ich soweit gekommen dass ich mit dem Captive Portal und Freeradius und Auth via MAC arbeite, nur meldet sich die VM nicht am RADIUS an. Habe alles neu konfiguriert und x mal überprüft aber sobald ich die Allowed IP Adress raus nehme von meiner VM ist die Verbindung weg, ein Aufruf zum RADIUS Server sehe ich nicht, via radtest habe ich Verbindung von der PfSense zum RADIUS (der auf der PfSense liegt) Bin etwas überfragt gerade, geht das so wie ich mir das vorstelle?

Benutze zwar die andere sense, aber die Probleme mit WLAN-Karten sind wohl die Gleichen!  :-[ Wenn immer man kann sollte man einen separaten AP verwenden. WLAN-Karten und FreeBSD ist keine gute Kombination. Ich habe auch schon N-Speed mit meiner Atheros hinbekommen. Aber bei manch Anderen läuft es gar nicht oder nur mit vielen Fehlern. Hängt wohl auch davon ab, wie viele WLAN's so in der Nachbarschaft herumfunken… Gruß Dirk

Was hattest du dir denn überhaupt vorgestellt? :o Dein DSL kann ja kaum SO schnell sein, dass du 2x Gigabit brauchst zur pfSense um da alles an Traffic durchzubekommen. Solange keiner VDSL2000(Mbit) erfunden hat, verstehe ich den Wunsch nicht wirklich ;)

Edit: "Fehler gelöst". So etwas böses  :o Hi, vielen Dank erstmal für die sehr gute Anleitung. Versuche pfsense mit AD seit mehreren Stunden zum laufen zu bekommen. Ohne VPN für das Erste. Es funktioniert alles, bis auf das Auslesen der Gruppe. Somit kann ich mich in pfsense nicht einloggen, da die Gruppe des AD-Benutzers nicht eingelesen werden kann, und mir die credentials fehlen, um in pfsense irgendetwas machen zu können. Unter Diagnose\Authentificated Users kriege ich ohne eingeschalteten "extended query" keine Gruppe angezeigt. Alles andere scheint zu gehen. Wenn ich extended query einschalte, geht gar nichts mehr. Nutze Windows Server 2016 und pfsense v2.3.3 Bei mir ist die Luft raus  - bin über jede Hilfe dankbar. Anbei paar Screenshots meiner Konfig. Danke.            

Moin, den zusätzlichen User legst Du unter System/User an und verpasst Ihm genau wie dem Admin ein Zertifikat. Rest ist gleich. Schau Mai in deine PM

Jap, genauso kann man das machen.

Bei mir schon Hast Du die Beta am laufen? [image: 03-03-_2017_19-52-23.png] [image: 03-03-_2017_19-52-23.png_thumb]

Vielen lieben Dank für die schnelle ANtwort. Und nein, hab ich noch nicht. Aber gleich. Danke. ;) >:(

Hallo, bin immer noch auf der Suche nach einer Virenscanner-Möglichkeit ohne Squid auf der pfsense (oder sonstwie zentral). Mir gefällt mein Setup (policy based routing für die Clients) gut, möchte aber nicht nur auf den Clients nach Viren suchen. Hat noch jemand einen Tipp für mich? Danke und Gruß, Joe

Klingt logisch. Jedenfalls teilweise. Meine Denke war, ich habe einige Prozesse auf der pfSense laufen, wie mehrere OpenVPN Server, Suricata, ntopng oder den Webserver, die allesamt wieder in mehreren Threads laufen können, und da sollte HT was bringen. Ja, aber die meisten dieser sind eh ständig im Idle-Mode. Letzten Endes kann es wohl eh nur jeder für sich durch Benchmarks herausfinden, was die optimale Einstellung ist. Danke für die Erläuterung.

Nunja die andere Frage ist, warum ich einen nachgeschalteten AP oder Router überhaupt eine dynamische IP vergeben will. Im Zweifelsfall will ich den ja schnell erreichen können zur Fehlersuche und eben nicht erst rumkaspern, welche IP er gerade hat!? Deshalb lassen Netzwerker meist die ersten oder letzten IPs des Netzes für Netzwerkgeräte frei (Switches, Firewalls, Router, APs oder sonstiges) und definieren ansonsten Bereiche oder DHCP Ranges für den Rest. Alles andere gibt auf Dauer Chaos :)