So, jetzt ist Ruhe. Habe zwei Faktoren erneut auf silent gesetzt. Hoffentlich fehlt mir jetzt nix Wichtiges im Log  ::)

Nein, du siehst schon richtig. User-basierte Regeln unterstützt pfSense nicht. Abhelfen musst du dir mit VPN > OpenVPN > Client Specific Overrides. Hier kannst du ein schmales Subnetz aus dem VPN-Tunnel für bestimmte Clients reservieren und dieses dann in den Firewall-Regeln als Quelle verwenden. Achte auch darauf, dass "Strict User-CN Matching" in den Servereinstellungen gesetzt ist.

Die Clients bekommen nur die Zielnetze über die VPN geroutet, die in "Local IPv4 Networks" eingetragen sind. Wenn auch der Zugriff auf sämtliche Internet-Adressen über VPN gehen soll, musst du "Redircect gateway" setzen. Zudem muss die Firewall-Regel den Zugriff auf alle IPs erlauben, also "allow any" und es ist eine Outbound NAT Regel für das Tunnel-Netz erforderlich. Beides wird aber vom Wizard automatisch so gesetzt.

Ok, danke. Das verwundert mich nur, weil die IP von Extern (also aus dem VPN) ja zu pingen ist.

Hallo zusammen, ich glaube zwar das mir momentan scheinbar keiner weiterhelfen kann, aber mir ist noch eine Sache aufgefallen und zwar würde ich das Problem auf Squidguard eingrenzen. Wenn ich in Squid eine Domain Blackliste wird diese gesperrt und ich bekomme eine Squid Seite die mir sagt das https://irgendwas gesperrt ist und da steht der richtige und komplette URL-Name, gleich Seite mit squidguard geblockt und es kommt wieder der https://http quatsch. Gruß

Ja PPPoE - im Moment zumindest noch, eine Umstellung auf BNG wird auch bei FTTH kommen, kann aber noch dauern Wichtig ist auf dem WAN Interface VLAN7 zu aktivieren.

ok danke - hab ich ja erstmal bissl Lesestoff jetzt isses bissl blöd gelaufen, ich hab hier parallel zwei Themen angefragt, und bin irgendwie bei beiden nun auf das selbe Folgethema gekommen. Darf ich so unverschämt sein, und auf meinen anderen Thread verweisen? das wär nämlich der hier: https://forum.pfsense.org/index.php?topic=121654.0

ich bleib am besten einfach offline…danke sollte mir doch jemand jemand erklären können wie unter dem ALTEN monowall diese 2 lcd treiberprozesse laden kann gäbs von mir mindestens nen cyberhug  ;D

Ich kennen nun Deine Bleibe nicht, meist steht der Router jedoch nicht da, wo ein AP am meisten Sinn machen würde. Daher freue Dich doch über die vorhandenen Lan-Kabel und nutze eines davon, um an einer sinnvollen Stelle einen AP zu betreiben. Das könnte dann auch ein vorhandener Repeater im Bridge-Modus sein. Zu Zeiten von a/b/g WLAN bin ich noch mit einem einzigen AP ausgekommen, an dem ich high-gain omni-Antenne angeschlossen hatte. Damit habe ich eine bedarfsgerechte Ausleuchtung im Haus und ein wenig im Garten erreicht. Solche Antennen funktionieren bei n-WLAN nicht mehr so gut (…) und die WLAN-Dichte hat in meiner Umgebung soweit zugenommen, dass es selbst mit b/g nicht mehr möglich wäre, streaming-Audio in allen Bereichen zu hören (>30 nachbar-APs im Wohnzimmer empfangbar). Leider sind meine Squeeze-Boxen auf dem 5GHz Ohr taub, so dass ich eine Lösung für 2.4GHz brauchte. Das ging nur mit mehreren gescheiten APs (s.o.) an exponierten Stellen - und da will ich meinen Router mit Sicherheit nicht hängen haben...

Hallo, vielen Dank für die Antworten - macht natürlich Sinn  ::) Sehe es mir im Laufe des Tages an und melde mich dann nochmal. dburt

Naja frühestens, nachdem 2.4 veröffentlicht wurde. Sonst hätte das Gerät ja keine Basis. Und die 2.4 gibt es erst, nachdem FreeBSD 11 fertig vorliegt. Deinen Platz in der Bestellliste sowie Postlaufzeiten musst Du noch hinzufügen, dann hast Du einen Anhaltspunkt.

Nach diesem gegenseitigen Bashing mit Moderatorenbeteiligung hat der OP sicher einen guten Überblick über die Community erhalten und kann sich nun ein eigenes Bild machen. Ich bin aber froh, dass ich so etwas hier nicht oft lese, zumindest im deutschsprachigen Teil und hier oft Hilfe erhalte. Das gehört hier nicht hin! Grüße pfadmin

Da bin ich auch gerade darüber gestolpert. Über die Console kann man das so einstellen. Habe ich seit der Version 2.0 so und mir nie wirklich was dabei gedacht. Funktionierte ja alles. Und bei jeder Neueinrichtung habe ich wieder die alten Einträge genommen. Ändert man aber die Einstellungen über die GUI, bekommt man entsprechende Fehlermeldungen. Ich habe jetzt mal auf /24 umgestellt und vorsichtshalber die komplette pfs neu gestartet (geht ja schnell). Nur Save und Apply reichte nicht. Zuerst ist nichts passiert. Aber nach einer Weile waren die beiden Router zu sehen und ich kam endlich auch über's LAN drauf. Und jetzt klappt endlich auch die Namensauflösung im internen Netz. Klasse! und ein großes Dankeschön! Holger

Hallo, Vielen Dank für die viele Antworten. Ich habe die(?) Lösung gefunden: unter System => Routing => Gateways als Gateway die ip der Fritz!Box eingeben. Ciao

Nicht dafür. :)

Das mit den DNS Rebind Check lassen wir mal. Nach einer sauberen Neuinstallation funktioniert das deaktivieren des DNS Rebind Checks, und die Administration der pfsense von WAN aus.  >:( Korrektur: Die Rechner aus dem Intranet können das, von draussen kommt keiner auf die LogIn Seite.

Ja auf der Fritzbox Cable ist der DHCP an mit 192.168.10.1 auf 192.168.10.20 - .200 noch aktiviert. Nun ist halt somit die PFsense nicht im DHCP Bereich abgedeckt aber das macht ja nichts da statisch LAN zugewiesen wurde. Auch die öffentlichen IPs erkennt die Sense problemlos. Ich frag mich halt wenn die Pfsense an LAN die 192.168.10.2 konfiguriert hat ohne DHCP, wie dann die Fritzbox 7490 auf LAN 1 die 192.168.1.100 bekommen kann wenn diese doch in den IP einstellungen Statisch die 192.168.10.30 bekommen hat. Wichtig wäre halt mal zunächst dass die Fritzbox Cable 192.168.10.1 und die Pfsense 19.168.10.2 aus dem 192.168.10.0 Netz von einem Client dahinter erreichbar sind. Zur Not kann ich mich da noch mit W-Lan auf die Fritz Cable draufschalten. WLAN soll ja an der Cabel aktiv bleiben und logischerweise das Gäste WLan vor der PFsense stellen. Ich frag mich nur ob man sich den ganzen Config Aufwand mit der Box nicht sparen kann, da ein  und dem Apu2C4 Board einfach ne PCIe mini WLAN Karte spendiert und das WLAN für interne Geräte über die Pfsense verwaltet.

oder der alte Router hat kaum was zu tun und macht dann eben nur alle paar Stunden mal die IP kaputt. Der alte Router hat eigentlich gar nichts mehr zu tun. Der hängt zwar mit dem WAN Port am xDSL Router, am LAN Port hängt aber gar nichts dran. War eigentlich ein Blödsinn, den nicht gleich abzubauen.  ::) ::)