Ich stelle fest, ich habe Deine zweite Frage zu schnell beantwortet und 2/3 der Punkte ausgelassen. Was will ich genau machen: Die IP Adressbereiche: a) 7x.xxx.xx.x41 255.255.255.248 – und b) 8x.xxx.xx.x69 255.255.255.248 möchte ich gerne auf ein internes Interface (172.16.0.0/24, eigenes VLAN auf dem Switch dahinter) meiner Hardware auflegen. Alle Ziele hier, werden per NAT zur Verfügung gestellt. Hier handelt es sich nur um Web und Mailserver. Die dazugehörigen einzelnen IP’s muss ich ggf. mit einzelnen Regeln belegen können. GGf. wird hier später auch ein Reverse Proxy eingesetzt, aktuell ist das aber nicht geplant. Der Adressbereich c) 7x.xxx.xx.x93 255.255.255.248 bekommt ein eigenes, anderes internes Interface (172.16.4.0/21, eigenes VLAN auf dem Switch dahinter) auf der Hardware. Alle Ziele hier werden über einen Reverse Proxy (Squid) veröffentlicht und ein Site2Site IPSec Tunnel mit anderen Gegenstellen eingesetzt. Was da noch an Diensten / Zielen dazukommen kann, das kann ich an dieser Stelle noch nicht beantworten. Eingesetzte Hardware: Ich verwende eine Watchguard X750e mit pfSense 2.2. Mein Vorhaben habe ich, im Prinzip Malen nach Zahlen, versucht in einer Übersicht darzustellen. Ich hoffe, dass das Hilfreich war/ist. [image: pfsense.png] [image: pfsense.png_thumb]

Da es dann jetzt doch etwas tiefer in eine andere Richtung ging, habe ich unter https://forum.pfsense.org/index.php?topic=121462.0 einen neuen Thread eröffnet, damit dieser evtl. später besser gefunden wird.+ LG

Funktionier perfekt, vielen Dank. Grüße Michi

Ja ich stand vor deiner Tür aber deine pfSense wollte mich nicht reinlassen :( :D

Sehr gut. Vielen Dank.

Hi, sorry hab`s gefunden, ich hatte vor längerem in den Sicherheitseinstellungen des NAS die Zugriffe auf bestimmte IP Bereiche eingeschränkt! Die Virtuelle IP des OpenVPN war natürlich da nicht dabei ;-), hab jetzt aus Verzweiflung alles nochmal akribisch durchgeschaut und da is es mir aufgefallen! Grüße Thomas

Klar, das ist ein Switch Problem. Unterm Strich wurdest Du/Ihr also sagen, ob ich nun 2 phsikalisch getrennte Interfaces oder einen Trunk Port bei der Verbindung pfSense - Switch nehme ist sicherheitstechnisch das selbe. Da der User über einen Access Point verbunden wird, der ja auch beide VLAN Infos hat und auch an einem Trunkport hängt.

Alle clients bekommen diese richtig zugeteilt. Clients via DHCP sicher. Die Firewall kennt sich selbst ja aber nicht via DHCP. Das ist was ich noch nicht verstehe wo diese Problem her kommt? Habe ich geschrieben. DNS. NICHT DHCP. Du hast ja nicht geschrieben was du überhaupt noch laufen hast auf der Box insofern kann dir auch keiner sagen, welche Komponente es war. Mutmaßlich wohl der DNS Resolver den man hätte neustarten können. Oder der DNS Forwarder. Grüße

OT² der Omti 5528 war bei mir im Einsatz, später auch ALF Autoboot mit Kickstart 1.3 8) -teddy

Danke euch beiden! Ja, die Unifi AP's kann man echt gut einrichten und vor allem bieten sie auch wirklich viele Einstellungsmöglichkeiten, mit denen man sehr gut seine Vorstellungen umsetzen kann (im Gegensatz zur z.B. eierlegenden Wollmilchsau - der FritzBox, mit der ich mein Vorhaben zum Gastnetzwerk vergessen konnte…). Man kann halt wohl bis zu 4 SSID's erstellen und diese bei Bedarf als Gastnetzwerk (mit Zugriffsbeschränkungen und Geschwindigkeitsreduzierungen) über VLAN einrichten. Ich habe es zunächst auch im AP eingerichtet, wollte es später aber lieber alles in der pfSense zentralisiert haben und deswegen den Hacken bei Gastnetzwerk rausgenommen. Jetzt wieder gesetzt, aber alle anderen Einstellungen gelöscht (das, was nun die pfSense übernimmt) und schon läuft es, wie es soll - die Geräte sehen sich untereinander nicht mehr und es werden auch bspw. keine Bonjour Broadcasts von fremden Geräten mehr empfangen. Eine Frage zum pfSense Traffic Shaper / Limiter hätte ich in dem Zusammenhang aber noch: Ich habe 2 Limiter in / out eingerichtet und entsprechend bei der pass-Regel angewendet. Danach laden manche Seiten (ich glaube meist https) aber quälend langsam. Bei manchen bleibt die Seite weiß und wird erst nach über 20 Sekunden auf einmal komplett geladen, bei anderen wird ein Teil "vorgeladen" und nach einer gewissen Zeit zu Ende geladen (habe jetzt sogar über 1 Minute nachgemessen). Der Speedtest braucht auch erst einige Sekunden Anlaufzeit, zeigt dann aber die richtigen Werte an (wie im Limiter festgelegt). Hat jemand eine Idee, was die Ursache für so ein Verhalten sein kann?

"mit vernünftigen Support?" Was ist denn "vernünftiger Support" für dich? Und was soll der Umfassen? Ein Support für die Boards (auch Hardware Ebene) besteht ja durchaus bei PCengines selbst - oder eben beim Versender. An der Software-Front ist das ja aber was anderes. Wenn man es nicht als Bundle erwirbt, ist Software Support eine zweite Baustelle :) Was in dem Fall ja nochmal sinnbefreit von Varia war, denn auf die Idee, dass vielleicht gar keine mSATA drin ist… naja. :D

Das sollte mit den Angaben eigentlich recht problemlos machbar sein. Die 10 Netze als VLANs über ein SFP+/DA/Fiber zum Switch zu legen, ist durch die zentrale Konfiguration auf der pfSense dann durchaus sinnvoll. Andernfalls wäre die Alternative das mit einem Core Konzept zu bauen, dann brauchst du aber intelligente Switche und meist sind die Regeln dort "ekliger" anzulegen und zu verwalten als alles auf der pfSense zu haben. Grüße

FWIW: Support für Padlock ist aus den meisten Zweigen und anderem Krams rausgeflogen. Zum einen gibts sinnvollere CryptoAccs (und padlock ist jetzt schon durchaus alt/älter), zum anderen gab es erhebliche Zweifel an der Sicherheit im Nachgang zum NSA Debakel wie sich gezeigt hatte. Deshalb verschwand das m.W.n. auch sukzessive aus den Distros. http://arstechnica.com/security/2013/12/we-cannot-trust-intel-and-vias-chip-based-crypto-freebsd-developers-say/ https://wiki.freebsd.org/201309DevSummit/Security sind die Links die ich spontan dazu gefunden hatte aus dem engl. Forum.

Auch wenn Du schon bestellt hast falls mal hier reinstolpert: https://bsdrp.net/documentation/examples/forwarding_performance_lab_of_a_pc_engines_apu2 -teddy

@Parsec: Versuche mal folgende zusatzeinstellungen auf dem WAN interface Keine Änderung : 2a03:2260:10:25:6e62:6dff:fe3d:4ace 6c:62:6d:3d:4a:ce (Micro-Star INT'L) WAN fe80::6e62:6dff:fe3d:4ace%re0 6c:62:6d:3d:4a:ce (Micro-Star INT'L) WAN fe80::d00d:6bff:feae:f07c%re0 04:af:fb:05:02:06 WAN fe80::215:17ff:febc:ffc2%em3 00:15:17:bc:ff:c2 (Intel Corporate) WLAN3 fe80::215:17ff:febc:ffc3%em2 00:15:17:bc:ff:c3 (Intel Corporate) WLAN2 fe80::215:17ff:febc:ffc0%em1 00:15:17:bc:ff:c0 (Intel Corporate) WLAN1 fe80::1:1%em0 00:15:17:bc:ff:c1 (Intel Corporate) INTERN

Trail and Error hat zum Erfolg geführt. Problem war, dass in der WAN-Interface-Konfiguration "Request a IPv6 prefix/information through the IPv4 connectivity link" aktiviert war. Hat bisher allerdings problemlos funktioniert. Wie dem auch sei, jetzt bekommen alle Geräte wieder wir gehabt ihre v6-Adressen.

Hallo, ich glaube das Problem liegt in der wpad-config. Versuch mal diese: function FindProxyForURL(url, host) {   if (isInNet(myIpAddress(), "172.50.0.0", "255.255.254.0")) {       return "10.10.11.1:800";   }   else if (isInNet(myIpAddress(), "172.10.0.0", "255.255.0.0")) {       return "PROXY 172.10.10.1:800";   }   else {       return "DIRECT";   } } Ein nützliches Tool zum Testen ist übringens PAC Magic. LG Lars

Hallo, dies funktioniert mit BIND (findest du im Paket-Manager). Wenn du fragen hast, kannst du dich gerne an mich wenden. LG Lars