@jahonix: Welchen Durchsatz kann Deine Internet-Anbindung bereitstellen? Erwartest Du viel (oder überhaupt) Traffic zwischen den Netzsegmenten? Wenn Du genug Interfaces an der pfSense für dedizierte Segmente hast und Switchports auch reichlich zur Verfügung stehen, dann mache es physikalisch getrennt. Damit schaffst Du Dir auch keinen Flaschenhals, wenn Traffic einen Trunk zweimal durchläuft (von einem Segment ins Nächste). Wenn Du aber sowieso nur upstream auf eine VDSL Leitung oder so konzentrierst, dann wäre das ziemlich wurscht. Unüberschaubar oder schlecht zu managen ist eine VLAN Lösung nicht, man muss ggf. einmal mehr nachdenken, bevor man Einstellungen ändert. Wenn Du mit gescheiten AccessPoints mehrere SSIDs ausstrahlen willst, dann kommst Du fast nicht um einen Trunk zum AP herum, und dann taggst Du sowieso schon. Dann kann man das auch gleich konsistent überall machen. Ferner lässt sich ein Management VLAN einrichten, auf dem man (nur) die Hardware administriert. Das funktioniert mit physikalischer Verteilung nur eingeschränkt und/oder mit großem Aufwand, wenn überhaupt. Vielen Dank Chris; ich werde es zunächst physisch getrennt lassen und iterativ, mit dem Kauf VLAN-fähiger Switches und den "steigenden" Anforderungen mich ins Thema VLAN wagen… (zumindest eine Bridge an einem dd-wrt-AP mit zwei physischen Kabeln und zwei SSID habe ich schon hingekriegt). Beste Grüsse Nikolaus T.

Hat sich erledigt.

Hallo! @fuxz: Wie sollte der Cronjob korrekt hinterlegt werden? Installiere dir das Cron-Paket. Dann findest du einen Cron-Eintrag im Services-Menü.

Hi, du bist ja sicher schon auf https://forum.pfsense.org/index.php?topic=110259.msg653273#msg653273 gestoßen. Damit hat sich dein Vorhaben bis auf Weiteres geerdet. Als Modem geht der Vigor 130 und ein APU1d, wobei die Verschlüsselungsleistung evtl zu gering ist (keine HW Verschlüsselung). Da gibt es evtl bessere Tipps. Gruß pfadmin

Da ich nun auf der. Vormerkliste für FTTH 1Gbit/s stehe, muss ich mir vermutlich bald was neues einfallen lassen  :) Warum? Wie gesagt der C27xx ist toll. Nur für max. Leistung nicht der Avoton, der ist eben für Server und Virt. gedacht, sondern der Rangeley, der ist mit QuickAssist für genau das konzipiert. Deshalb unterscheidet Intel den ja auch. Und da gerade pfSense + FreeBSD mit Intel an QuickAssist Support gearbeitet haben, passt das wie Faust auf Auge. Zudem gab es schon Tweets, dass ein 2758er mit AES-GCM via IPSEC fast auf Linespeed VPN schafft (also Gigabit). Sehe daher nicht, dass du da upgraden müsstest von der Kiste, wenn aber doch lege ich dir als Step-Up den Xeon-D von Supermicro ans Herz. Verkaufen wir auch für viele Kunden und die sind happy-as-can-be mit der Kiste, zumal die 6 NICs Gigabit + 2 NICs 10Ge + IPMI mitbringt. Großartiges Ding! http://www.supermicro.com/products/system/1U/5018/SYS-5018D-FN8T.cfm Und ja wir verkaufen die u.a. auch :P Darf man ja erwähnen. Läuft toll das Ding und (ein großes) Plus: Das IPMI ist nicht Java/Flash only, sondern hat sogar ne ordentliche HTML5 Console! :O :D @Spitzbube: Es soll was können und mich vor Angriffen bewahren. Hatte nämlich im Mai diesen Jahres einen, bei dem ich die Konsequenzen erst gestern erfahren durfte. Darfst du dazu mehr sagen? Angriffe "bewahren" ist vage. Wenn damit DDOS gemeint ist - nichts schützt davor. Außer Stecker ziehen - aber das ist ja schon implizit. 450 Mbit Up und Down 20MBit Könnte das evtl mehr werden? Was möchtest du evtl. noch als Zusatzpakete einsetzen? (IDS/IPS, Proxy, etc.)? Sind wir ggf. im Firmenumfeld? Spielt also evtl. Garantie ne Rolle (3-5 Jahre?) Wenn du dazu noch was sagen könntest, wäre das toll. Wenn eines oder mehrere davon zutreffen, würde ich persönlich eher den Step up zu was größerem machen und nicht mit einer APU2 anfangen. Der ein oder andere hier hat ja nun auch schon eine 7525 wie man in der Signatur lesen kann und bislang hab ich davon nur Lobreden gehört. Zudem hat die 7525-D mit 6 Interfaces schon viel Möglichkeiten auch noch zu wachsen oder später größere Setups zu handeln (CARP Cluster mit zweitem Gerät etc.) Grüße

Ja, wie man ein Interface anlegt und so - das wusste ich schon. Ich war nur irritiert, ob ich nicht evtl. noch sonstige Einstellungen unter Rules oder sonst wo tätigen muss. Aber das ist mittlerweile erledigt. Nun zum Thema mit Multicast… Danke für den Tipp mit IGMP Proxy. Das hat mich jetzt leider nicht weitergebracht (habe alle möglichen Varianten ausprobiert). Danach bin ich auf die Erweiterung Avahi für die pfSense gestoßen, welche ja wohl genau das tun soll - alle Multicasts auf allen bzw. ausgewählten Interfaces verfügbar machen. Also habe ich das Package installiert und ausprobiert, aber auch dieses bringt mich keinen Schritt weiter. Leider nach wie vor nichts über das OpenVPN Interface verfügbar. Generell scheint das Package aber seinen Dienst vorbildlich zu verrichten. Habe heute einen VLAN eingerichtet und von dort konnte ich problemlos solche Dienste wie Airprint oder Airplay erreichen, bis ich das entsprechende VLAN-Interface unter Avahi ausgeschlossen habe (warum läuft es eigentlich nach dem Ausschlussprinzip? :-). Idee, was ich noch versuchen könnte?

Bei mir läuft der UniFi Controller sogar nur auf einem Rapsberry PI. Zumal das Ding nicht immer laufen muss. Man kann damit die Access Points konfigurieren und braucht den dann nicht mehr zwingend. Schön ist es aber wegen Statistik und so.

Moin JeGr, ich habe noch eine Zeitschaltuhr über, Nachts Kaffee kochen lassen, abkühlen lassen, nach dem Aufwachen intravenös "genießen"  8) -teddy

Weil das Paket kommt ja von LAN im IPsec an… oder denke ich zu kompliziert?? Nein du denkst etwas verquert ;) Kurze Faktenlage: pfSense checkt nur EINgehenden Traffic auf dem Interface auf dem er ANkommt. AUSgehender Traffic aus einem anderen Interface wird - weil das ja zusammengehört - automatisch erlaubt (pass out rule zur pass in rule) Ergo musst du immer betrachten, was du machen möchtest und aus welcher Richtung die Pakete AUF die pfSense zukommen. Kommt Traffic initial vom VPN, ist die Regel auf dem VPN Interface zu erlauben. Ist der Start dein LAN, ergo auf dem LAN Interface. Dass es von LAN nach IPSEC wandert ist irrelevant da -> siehe 2) -> pass out automatisch erfolgt. IPSec Interface Regeln beziehen sich also NUR auf initialen Traffic VOM VPN. Antwortpakete müssen nicht erlaubt werden, sie erzeugen (meisten) einen State der jede weitere zugehörige Verbindung erlaubt. Ergo keine Regel auf VPN IF erstellen nur weil man von LAN da zugreifen will -> stateful inspection regelt das. Gruß Jens

Hi, indem du die Ports nicht frei gibst. Ohne eine Regel von dir sind diese Ports und alles andere auch gesperrt! Also zunächst auf dem LAN-Interface wie peterhart schrieb, diese Ports explizit blocken und danach zb die "Erlaube alles" Regel. Gruß pfadmin

Ich habe das mal gemacht. Ich denke auch das es wichtig ist. All over IP kommt immer mehr. Diese thema hatten wir schon oft im Forum auch hier im deutschen Teil. Trotzdem wird es immer wieder gefragt. Anpassen kann man immer noch. Bitte nochmals drüber lesen und ggf. ändern (Wenn der Moderator das kann) ansonsten passe ich gerne nochmal an.

Super. Ich habe es so verstanden, dass wenn ich die Limiter in einer LAN-Regel verwende, die Maske im Download-Limiter auf Destination gestellt werden soll, im Upload-Limiter auf Source. So hatte ich es hier eingerichtet. Bei dir scheint es aber anders zu sein.

@flix87: Die Weboberfläche ist von jeden Interface aus erreichbar wenn die Rückrouten und Firewallregeln stimmen. Bei Ping ist es genau so. Ja, das Erstaunliche ist. wenn mans richtig mach, dann läuft es auch. ;-) Der Apply Button hat durchaus seinen Sinn ….. boah ! ;-)

Das ist auch kein Flag, das in Software irgendwo gesetzt wird, sondern der Header der Platte wird entsprechend beschrieben. Statt des Bootsektors und MBRs bspw. bzw. davor/danach. Und sobald das von entsprechenden Tools erkannt wird, versuchen die das auch wieder herzustellen. Grüße

Du hast mich da mißverstanden :)  In meiner Konfiguration handelt es sich um 2 separate Anschlüsse (1x DSL mit LTE am Hybrid-Router, 1x normales DSL mit ALLNET-Modem) Schade. :'( Das pfsense Projekt liegt zur Zeit hier auf Eis. Das Allnet Modem bringt es mit dem All-IP Anschluss nur auf 3,5 MBit/s, die FB 7390 von Hause aus auf 5,5 MBit/s. Und die IP-Telefonie mit der FB hinter der pfSense klappt überhaupt nicht. Wenn mehr Zeit da ist, geht es weiter. Mike

Danke für die Info. Da die Error's auf allen meinen APU's auftreten, scheint es nicht von entscheidender Relevanz zu sein. Gruß Peter