.221 war ein c&p Fehler ;) Wo verschwindet dann das Paket?

Guten Tag, dann müßte ja unbound diese per DHCP (Schnittstelle opt1) und per PPPoE (wan) zugewiesenen DNS-Server als Forwarder eingetragen haben. Ansonsten werden diese Server in die Datei /etc/resolv.conf eingetragen.

Mittlerweile bin ich soweit gekommen dass ich mit dem Captive Portal und Freeradius und Auth via MAC arbeite, nur meldet sich die VM nicht am RADIUS an. Habe alles neu konfiguriert und x mal überprüft aber sobald ich die Allowed IP Adress raus nehme von meiner VM ist die Verbindung weg, ein Aufruf zum RADIUS Server sehe ich nicht, via radtest habe ich Verbindung von der PfSense zum RADIUS (der auf der PfSense liegt) Bin etwas überfragt gerade, geht das so wie ich mir das vorstelle?

Benutze zwar die andere sense, aber die Probleme mit WLAN-Karten sind wohl die Gleichen!  :-[ Wenn immer man kann sollte man einen separaten AP verwenden. WLAN-Karten und FreeBSD ist keine gute Kombination. Ich habe auch schon N-Speed mit meiner Atheros hinbekommen. Aber bei manch Anderen läuft es gar nicht oder nur mit vielen Fehlern. Hängt wohl auch davon ab, wie viele WLAN's so in der Nachbarschaft herumfunken… Gruß Dirk

Was hattest du dir denn überhaupt vorgestellt? :o Dein DSL kann ja kaum SO schnell sein, dass du 2x Gigabit brauchst zur pfSense um da alles an Traffic durchzubekommen. Solange keiner VDSL2000(Mbit) erfunden hat, verstehe ich den Wunsch nicht wirklich ;)

Edit: "Fehler gelöst". So etwas böses  :o Hi, vielen Dank erstmal für die sehr gute Anleitung. Versuche pfsense mit AD seit mehreren Stunden zum laufen zu bekommen. Ohne VPN für das Erste. Es funktioniert alles, bis auf das Auslesen der Gruppe. Somit kann ich mich in pfsense nicht einloggen, da die Gruppe des AD-Benutzers nicht eingelesen werden kann, und mir die credentials fehlen, um in pfsense irgendetwas machen zu können. Unter Diagnose\Authentificated Users kriege ich ohne eingeschalteten "extended query" keine Gruppe angezeigt. Alles andere scheint zu gehen. Wenn ich extended query einschalte, geht gar nichts mehr. Nutze Windows Server 2016 und pfsense v2.3.3 Bei mir ist die Luft raus  - bin über jede Hilfe dankbar. Anbei paar Screenshots meiner Konfig. Danke.            

Moin, den zusätzlichen User legst Du unter System/User an und verpasst Ihm genau wie dem Admin ein Zertifikat. Rest ist gleich. Schau Mai in deine PM

Jap, genauso kann man das machen.

Bei mir schon Hast Du die Beta am laufen? [image: 03-03-_2017_19-52-23.png] [image: 03-03-_2017_19-52-23.png_thumb]

Vielen lieben Dank für die schnelle ANtwort. Und nein, hab ich noch nicht. Aber gleich. Danke. ;) >:(

Hallo, bin immer noch auf der Suche nach einer Virenscanner-Möglichkeit ohne Squid auf der pfsense (oder sonstwie zentral). Mir gefällt mein Setup (policy based routing für die Clients) gut, möchte aber nicht nur auf den Clients nach Viren suchen. Hat noch jemand einen Tipp für mich? Danke und Gruß, Joe

Klingt logisch. Jedenfalls teilweise. Meine Denke war, ich habe einige Prozesse auf der pfSense laufen, wie mehrere OpenVPN Server, Suricata, ntopng oder den Webserver, die allesamt wieder in mehreren Threads laufen können, und da sollte HT was bringen. Ja, aber die meisten dieser sind eh ständig im Idle-Mode. Letzten Endes kann es wohl eh nur jeder für sich durch Benchmarks herausfinden, was die optimale Einstellung ist. Danke für die Erläuterung.

Nunja die andere Frage ist, warum ich einen nachgeschalteten AP oder Router überhaupt eine dynamische IP vergeben will. Im Zweifelsfall will ich den ja schnell erreichen können zur Fehlersuche und eben nicht erst rumkaspern, welche IP er gerade hat!? Deshalb lassen Netzwerker meist die ersten oder letzten IPs des Netzes für Netzwerkgeräte frei (Switches, Firewalls, Router, APs oder sonstiges) und definieren ansonsten Bereiche oder DHCP Ranges für den Rest. Alles andere gibt auf Dauer Chaos :)

Evtl. auf der Console bitte mal prüfen ob /etc/bogonsv6 existiert /etc/bogons existiert Sollte 1) nicht existieren, mal ein "touch /etc/bogonsv6" machen und dann unter den Advanced Options die Bogon Aktualisierungsrate auf 1 Tag statt einen Monat setzen. Anschließend mal ein /etc/rc.update_bogons.sh 1 ausführen. Das sollte die Bogons aktualisieren und die Fehlermeldung mit der rules.debug sollte verschwinden. Grüße

Habs gefunden, Im Squid Reverse Proxy Menü [General] gibt es den Punkt "Intermediate CA" und dort muss man den Inhalt des Intermediate Zertifikat Authority X3 von Letsencrypt hinein kopieren. Nun will auch Android mit dem Zertifikat spielen und alles ist gut. Gruß Rubinho

Doch hatte es zu erst mit Gateway Gruppen probiert da ging aber kein Traffic Flow durch wenn ich nicht den State Check komplett mit disabled habe, was ich prinzipiell ungünstig finde für ne statefull Firewall. Mit OSPF hab ich jetzt zusätzlich die Möglichkeit noch schön weitere Wege dynamisch hinzuzufügen ohne großen Stress, zum Beispiel das Ding komplett via OVPN zu meshen. Vor allem hab ich noch dienhoffnung das ich die OSPF Routen noch via IPSEC durch bekomme und auf der anderen Seite an der bereits vorhandenen SSG zu terminieren anstatt noch ne zusätzliche Hardware pfsense zu bauen nur für die failover Geschichte. Jedenfalls spielt es jetzt so wunderbar und ich bin flexibler.

Dazu konnte der Anbieter uns aber keinen Vor-Ort-Service für die Hardware anbieten, sondern nur einen Bring-In-Service. Autsch Das hätte 2 x exklusive Appliances des Anbieters erfordert. Da wir zum damaligen Zeitpunkt mindestens 6 NW-Anschlüsse benötigten, hätte jede Appliance rund 2500€ gekostet (vLAN's waren zu deiesem Zeitpunkt keine Option für uns). Doppel-Aua. Für 2500€ x2 wäre NBD (next business day) Replacement das Mindeste gewesen… :/ Das Charmante beim Einsatz einer FW als VM ist, dass die vLAN-Verwaltung komplett unter VMWare abläuft. Die UTM selbst bekommt für jedes neue Netz einen virtuellen NIC dazu den die UTM natürlich als 'echten' NIC sieht. SCNR: Auch nur so lange lustig, wie man das vCenter nicht wechseln will, dann sind dSwitche plötzlich was verdammt doofes und man ist froh, wenn man es nicht via VLANs in VMware, sondern Trunk in die VM und dort als VM gelöst hat :D Ist aber eher VMware Bullshit ;) Wie viele NIC's müsste ein VM-Hosts haben? Naja ganz realistisch müsste man dann sehen, wie viele VMs bspw. über den VMware internen Bus die Kiste bedienen kann - was also überhaupt nicht wirklich durch echtes Netzwerk sondern nur intern über virtualisierte Stacks läuft - und wieviel sie dann tatsächlich rausgeben muss ;) Und ob das dann intern via 10G noch ein großes Thema ist, müsste man gesondert betrachten :) Da würde ich eher zu 2 dedizierten HW-Appliances greifen. Gerade auch unter pfsense. Richtig, da kann man dank Hardware Angebot auch durchaus was finden, was NBD mit an Bord hat und man trotzdem als Appliance Art behandeln kann :)

Da man die Konfiguration INKL. Pakete exportieren können SOLL, wird das natürlich im XML gespeichert. Aber meines Wissens gibt es keinen Import von Zonen, nein. Grüße

Zum einen gibt es bei VNC auch crypto-Plugins. Also ist es prinzipiell möglich, auch auf 5800 verschlüsselt zu kommunizieren. Wie sicher das ist, weiß ich natürlich nicht, hatte sowas selber meist getunnelt per SSH oder VPN. Und, wie JeGr schreibt, ist VNC per default schlecht bei geringer Bandbreite oder hoher Latenz. Da performen RDP oder andere Tools wie TeamViewer oder Webex deutlich besser. VNC kann aber getunt werden - falls du die Möglichkeit dazu hast. Ich verrate dir, was ich nach langem Rumprobieren herausgefunden habe. :) Benutze "Tight" oder "Jpeg" als Einstellung, das hat bei mir schonmal die gefühlte Verbindungsqualität um den Faktor 5 verbessert. Das war fast schon alles.. aber natürlich kann man hier noch probieren. Am Ende war es fast so brauchbar wie RDP, was wiederum von TeamViewer leicht geschlagen wird. Es gibt dann eben leichte Artefakte im Bild.