:) vielen Dank, genau das war die Einstellung. Nun funktioniert es wie ich es möchte.

@viragomann: In deinem Fall würde ich mir aber eine zusätzliche pfSense in einer VM installieren, als Backup und mit VPN, nachdem du ohnehin schon in dem RZ virtualisierst. Schon mal an HA gedacht? Da machen 2 pfSensen das selbe, wenn der Master down ist, übernimmt die Backup-FW alle Aufgaben. Grüße Vor Ort haben wir 2 pfSense in HA, im Rechenzentrum allerdings nicht. Dort ist die eine per Spiegelung gesichert aber es gibt keine als "Backup". Ich glaube das ist die beste Lösung, einfach dort noch eine 2. direkt mit HA zu erstellen… Danke und Viele Grüße

Danke. Die funktion habe ich auch wntdeckt. Ist jedoch nutzlos.  :o

Stimmt, habs nochmal probiert selber Ausdruck, weiss nicht worum. Interessanterweise zeigt er bei Aufruf eines PC im Servernetzwerk das Interface des Tunnes auf der Serverseite an. Bild 006 Spaßeshalber habe ich das MikrotikWebinterface mal über die OpenVPN-IP-Adresse auf der Clientseite aufgerufen, und siehe da es funktioniert. Ich gehe mal davon aus, das ich gabe noch irgendwo ein Übersetzungsproblem der Adresse. Ich weis jetzt nur nicht wo. Von der Clientseite funktioniert alles. Von der Serverseite kann ich scheinbar nur Tunneladressen auf der Clientseite erreichen. [image: Bild_006.JPG] [image: Bild_006.JPG_thumb]

Habe die Intel Pro 1000 PT in meinem HP Gen8 im Einsatz. Keinerlei Schwierigkeiten bei VPN etc., alles super. Ist ja auch eine sehr gebräuchliche Karte, wenn auch schon ein wenig in die Jahre gekommen.

Hallo Marcell, meines Erachtens nach sollte an Hardware alles, was in der Größenordnung C2558/C2758 herumspukt problemlos mit 200Mbps - und später auch mit 1Gbps - klar kommen. Sofern du das Gigabit nicht verschlüsselt mit OpenVPN abbilden musst (wobei das bis nächstes Jahr dann ggf. kein Problem mehr ist), sehe ich da kein Problem. Wie der kleine Atom mit 2 Kernen skaliert kann ich da leider nicht sagen, die Geräte mit 4-Kerner (C2558) die wir bei Kunden im Einsatz haben, verhalten sich da aber richtig super. Appliances, die das abdecken gehen bei Netto) ~600€ los - die offizielle pfSense Hardware wäre da die SG-4860, die bei ca. 699€ anfängt. Grüße

Hallo, klar könnte es ein Sicherheitsgewinn sein, das WLAN vom LAN zu trennen. Ganz vereint sind die Netze ja auch nicht, wenn sie auf der pfSense gebrückt sind. Du kannst immer noch auf jedem Interface getrennte Firewall-Regeln erstellen. Dazu müssen die beiden Parameter in System > Advanced > System Tunables "net.link.bridge.pfil_member" (1) und "net.link.bridge.pfil_bridge" (0) die entsprechenden Werte habe. Meines Wissens ist das jetzt standardmäßig so gesetzt, dass man die Filterregeln auf dem Interface setzen kann, war früher anders. Dann kannst du am WLAN Interface eine Regel wie die o.g. anlegen, nur eben als Quelle und Ziel das neue Netz (dasselbe) eintragen. Für Multicasts kannst du eine Regel erstellen, die das IGMP-Protokoll erlaubt, das dürfte aber ohnehin nur LAN-seitig nötig sein, wo vermutlich eh alles erlaubt ist. Und darunter eine Regel, die Zugriff auf LAN blockt. Dann noch eine, die den Traffic ins Internet erlaubt. Grüße

Ja, das sind erfolglose und unberechtigte Zugriffe auf einen meiner ssh Server (Port Forward vom Port 443 auf Port 22). Und es sind leider öfters fehlende Einträge zu verzeichnen. Unvollständige Log's sind weniger schön. Gruß Peter

Eine NAT Rule brauchst Du nicht, der Loadbalancer / Reverseproxy nimmt den Traffic ja aussen an und reicht ihn nach innen weiter.

Könnte gefixt sein: https://doc.pfsense.org/index.php/2.3.2-p1_New_Features_and_Changes Worked around a Chrome bug with regular expression parsing of escaped characters within character sets. Fixes "Please match the requested format" on recent Chrome versions.

Moin, keine Problem: https://www.freebsd.org/releases/10.3R/hardware.html#ethernet Insbesondere http://www.freebsd.org/cgi/man.cgi?query=em&sektion=4 Bezüglich WLan solltest Du aber Rat von Fachleuten einholen, da kann ich nicht weiterhelfen, vermute aber, Du kommst um eine Lösung mit Kontroller nicht umzu. Ob Unifi das wuppt? Nachteil ist natürlich wenn Du 5Ghz als Uplink nutzt wird es mit den wenigen nutzbaren Kanälen im 2.4 Ghz Band sehr eng… -teddy Nachtrag: Thema Blitzschutz nicht vergessen: https://www.lancom-systems.de/fileadmin/pdfs/products/WLAN_OUTDOOR_MANUAL_DE.pdf

Super, vielen Dank. Die fehlenden NAT Outbound Rules waren das Problem… Danke!

@groovesurfer: Habe auch noch versucht: Block Management LAN, Ziel: Firewall (self). Da kann ich dann aber nicht mehr ins Internet. Du meinst, "Block Public LAN", denke ich? @groovesurfer: Dann einfach den Port in den Advanced Settings auf z.B. 57 ändern, neue FW Rule Block Source: Public LAN, Ziel: Firewall (Self) Port 57? Günstiger ist ein Port oberhalb 1024. Wichtig ist, dass der Port nicht sonst in deinem Netz verwendet wir. Es gibt in Netz Listen über standardisierte Port, z.B. https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports Anstatt "Firewall self" versuch die Block Regel mit Ziel "Public LAN address". Es müssten aber auch die MM-Addresse blockiert werden und je nach Konfig auch die WAN, aber auf dieser sollte die pfSense GUI ohnehin nicht lauschen. Du kannst dir für die Sammlung an zu blockieren Addressen / Netzen einen Alias anlegen.

Sollte funktionieren. Du hast das eth2 der pfSense, an dem die VLANs liegen, nicht konfiguriert, aber hast du es aktiviert? VLANs lassen sich auch zu einem deaktivierten Interface hinzufügen.

IPv6 scheint bei KD nicht zu funktionieren. Man konnte das Problem nur durch Umstellung auf IPv4 lösen.

Danke für die Geduld und für die ausführliche Erklärung.