Nach diesem gegenseitigen Bashing mit Moderatorenbeteiligung hat der OP sicher einen guten Überblick über die Community erhalten und kann sich nun ein eigenes Bild machen. Ich bin aber froh, dass ich so etwas hier nicht oft lese, zumindest im deutschsprachigen Teil und hier oft Hilfe erhalte. Das gehört hier nicht hin! Grüße pfadmin

Da bin ich auch gerade darüber gestolpert. Über die Console kann man das so einstellen. Habe ich seit der Version 2.0 so und mir nie wirklich was dabei gedacht. Funktionierte ja alles. Und bei jeder Neueinrichtung habe ich wieder die alten Einträge genommen. Ändert man aber die Einstellungen über die GUI, bekommt man entsprechende Fehlermeldungen. Ich habe jetzt mal auf /24 umgestellt und vorsichtshalber die komplette pfs neu gestartet (geht ja schnell). Nur Save und Apply reichte nicht. Zuerst ist nichts passiert. Aber nach einer Weile waren die beiden Router zu sehen und ich kam endlich auch über's LAN drauf. Und jetzt klappt endlich auch die Namensauflösung im internen Netz. Klasse! und ein großes Dankeschön! Holger

Hallo, Vielen Dank für die viele Antworten. Ich habe die(?) Lösung gefunden: unter System => Routing => Gateways als Gateway die ip der Fritz!Box eingeben. Ciao

Nicht dafür. :)

Das mit den DNS Rebind Check lassen wir mal. Nach einer sauberen Neuinstallation funktioniert das deaktivieren des DNS Rebind Checks, und die Administration der pfsense von WAN aus.  >:( Korrektur: Die Rechner aus dem Intranet können das, von draussen kommt keiner auf die LogIn Seite.

Ja auf der Fritzbox Cable ist der DHCP an mit 192.168.10.1 auf 192.168.10.20 - .200 noch aktiviert. Nun ist halt somit die PFsense nicht im DHCP Bereich abgedeckt aber das macht ja nichts da statisch LAN zugewiesen wurde. Auch die öffentlichen IPs erkennt die Sense problemlos. Ich frag mich halt wenn die Pfsense an LAN die 192.168.10.2 konfiguriert hat ohne DHCP, wie dann die Fritzbox 7490 auf LAN 1 die 192.168.1.100 bekommen kann wenn diese doch in den IP einstellungen Statisch die 192.168.10.30 bekommen hat. Wichtig wäre halt mal zunächst dass die Fritzbox Cable 192.168.10.1 und die Pfsense 19.168.10.2 aus dem 192.168.10.0 Netz von einem Client dahinter erreichbar sind. Zur Not kann ich mich da noch mit W-Lan auf die Fritz Cable draufschalten. WLAN soll ja an der Cabel aktiv bleiben und logischerweise das Gäste WLan vor der PFsense stellen. Ich frag mich nur ob man sich den ganzen Config Aufwand mit der Box nicht sparen kann, da ein  und dem Apu2C4 Board einfach ne PCIe mini WLAN Karte spendiert und das WLAN für interne Geräte über die Pfsense verwaltet.

oder der alte Router hat kaum was zu tun und macht dann eben nur alle paar Stunden mal die IP kaputt. Der alte Router hat eigentlich gar nichts mehr zu tun. Der hängt zwar mit dem WAN Port am xDSL Router, am LAN Port hängt aber gar nichts dran. War eigentlich ein Blödsinn, den nicht gleich abzubauen.  ::) ::)

Ich stelle fest, ich habe Deine zweite Frage zu schnell beantwortet und 2/3 der Punkte ausgelassen. Was will ich genau machen: Die IP Adressbereiche: a) 7x.xxx.xx.x41 255.255.255.248 – und b) 8x.xxx.xx.x69 255.255.255.248 möchte ich gerne auf ein internes Interface (172.16.0.0/24, eigenes VLAN auf dem Switch dahinter) meiner Hardware auflegen. Alle Ziele hier, werden per NAT zur Verfügung gestellt. Hier handelt es sich nur um Web und Mailserver. Die dazugehörigen einzelnen IP’s muss ich ggf. mit einzelnen Regeln belegen können. GGf. wird hier später auch ein Reverse Proxy eingesetzt, aktuell ist das aber nicht geplant. Der Adressbereich c) 7x.xxx.xx.x93 255.255.255.248 bekommt ein eigenes, anderes internes Interface (172.16.4.0/21, eigenes VLAN auf dem Switch dahinter) auf der Hardware. Alle Ziele hier werden über einen Reverse Proxy (Squid) veröffentlicht und ein Site2Site IPSec Tunnel mit anderen Gegenstellen eingesetzt. Was da noch an Diensten / Zielen dazukommen kann, das kann ich an dieser Stelle noch nicht beantworten. Eingesetzte Hardware: Ich verwende eine Watchguard X750e mit pfSense 2.2. Mein Vorhaben habe ich, im Prinzip Malen nach Zahlen, versucht in einer Übersicht darzustellen. Ich hoffe, dass das Hilfreich war/ist. [image: pfsense.png] [image: pfsense.png_thumb]

Da es dann jetzt doch etwas tiefer in eine andere Richtung ging, habe ich unter https://forum.pfsense.org/index.php?topic=121462.0 einen neuen Thread eröffnet, damit dieser evtl. später besser gefunden wird.+ LG

Funktionier perfekt, vielen Dank. Grüße Michi

Ja ich stand vor deiner Tür aber deine pfSense wollte mich nicht reinlassen :( :D

Sehr gut. Vielen Dank.

Hi, sorry hab`s gefunden, ich hatte vor längerem in den Sicherheitseinstellungen des NAS die Zugriffe auf bestimmte IP Bereiche eingeschränkt! Die Virtuelle IP des OpenVPN war natürlich da nicht dabei ;-), hab jetzt aus Verzweiflung alles nochmal akribisch durchgeschaut und da is es mir aufgefallen! Grüße Thomas

Klar, das ist ein Switch Problem. Unterm Strich wurdest Du/Ihr also sagen, ob ich nun 2 phsikalisch getrennte Interfaces oder einen Trunk Port bei der Verbindung pfSense - Switch nehme ist sicherheitstechnisch das selbe. Da der User über einen Access Point verbunden wird, der ja auch beide VLAN Infos hat und auch an einem Trunkport hängt.

Alle clients bekommen diese richtig zugeteilt. Clients via DHCP sicher. Die Firewall kennt sich selbst ja aber nicht via DHCP. Das ist was ich noch nicht verstehe wo diese Problem her kommt? Habe ich geschrieben. DNS. NICHT DHCP. Du hast ja nicht geschrieben was du überhaupt noch laufen hast auf der Box insofern kann dir auch keiner sagen, welche Komponente es war. Mutmaßlich wohl der DNS Resolver den man hätte neustarten können. Oder der DNS Forwarder. Grüße

OT² der Omti 5528 war bei mir im Einsatz, später auch ALF Autoboot mit Kickstart 1.3 8) -teddy

Danke euch beiden! Ja, die Unifi AP's kann man echt gut einrichten und vor allem bieten sie auch wirklich viele Einstellungsmöglichkeiten, mit denen man sehr gut seine Vorstellungen umsetzen kann (im Gegensatz zur z.B. eierlegenden Wollmilchsau - der FritzBox, mit der ich mein Vorhaben zum Gastnetzwerk vergessen konnte…). Man kann halt wohl bis zu 4 SSID's erstellen und diese bei Bedarf als Gastnetzwerk (mit Zugriffsbeschränkungen und Geschwindigkeitsreduzierungen) über VLAN einrichten. Ich habe es zunächst auch im AP eingerichtet, wollte es später aber lieber alles in der pfSense zentralisiert haben und deswegen den Hacken bei Gastnetzwerk rausgenommen. Jetzt wieder gesetzt, aber alle anderen Einstellungen gelöscht (das, was nun die pfSense übernimmt) und schon läuft es, wie es soll - die Geräte sehen sich untereinander nicht mehr und es werden auch bspw. keine Bonjour Broadcasts von fremden Geräten mehr empfangen. Eine Frage zum pfSense Traffic Shaper / Limiter hätte ich in dem Zusammenhang aber noch: Ich habe 2 Limiter in / out eingerichtet und entsprechend bei der pass-Regel angewendet. Danach laden manche Seiten (ich glaube meist https) aber quälend langsam. Bei manchen bleibt die Seite weiß und wird erst nach über 20 Sekunden auf einmal komplett geladen, bei anderen wird ein Teil "vorgeladen" und nach einer gewissen Zeit zu Ende geladen (habe jetzt sogar über 1 Minute nachgemessen). Der Speedtest braucht auch erst einige Sekunden Anlaufzeit, zeigt dann aber die richtigen Werte an (wie im Limiter festgelegt). Hat jemand eine Idee, was die Ursache für so ein Verhalten sein kann?

"mit vernünftigen Support?" Was ist denn "vernünftiger Support" für dich? Und was soll der Umfassen? Ein Support für die Boards (auch Hardware Ebene) besteht ja durchaus bei PCengines selbst - oder eben beim Versender. An der Software-Front ist das ja aber was anderes. Wenn man es nicht als Bundle erwirbt, ist Software Support eine zweite Baustelle :) Was in dem Fall ja nochmal sinnbefreit von Varia war, denn auf die Idee, dass vielleicht gar keine mSATA drin ist… naja. :D

Das sollte mit den Angaben eigentlich recht problemlos machbar sein. Die 10 Netze als VLANs über ein SFP+/DA/Fiber zum Switch zu legen, ist durch die zentrale Konfiguration auf der pfSense dann durchaus sinnvoll. Andernfalls wäre die Alternative das mit einem Core Konzept zu bauen, dann brauchst du aber intelligente Switche und meist sind die Regeln dort "ekliger" anzulegen und zu verwalten als alles auf der pfSense zu haben. Grüße