Hi, da ihr keine Änderungen vorgenommen habt, habt ihr auch keine Ports zur Telefonanlage durchgestellt. Somit läuft das Ganze vermutlich mit STUN und das ist wiederum nur eine Krücke, die selbst Probleme bereiten kann. Die Router der Telekom sind entsprechend hart vorverdrahtet, d.h. alle Ports usw. sind durchgeschalten. Leite die Ports, die in der Anlage für SIP und RTP eingetragen sind, an der pfsense weiter, und dann sollte das Ganze funktionieren. Gruß pfadmin

Ich hatte irgendwie keine Lust wegen einer Portänderung wieder ein Formular auszufüllen und wieder 2-3 Wochen zu warten bis die endlich hinbekommen haben dies einzustellen. Autsch, ja solche Firmenpolitik ist mir durchaus bekannt ;) Da arbeitet man dann gern drumherum :) Wenns aber jetzt klappt ist ja gut :D - ich würde es allerdings trotzdem eher mit localhost bauen und den VPN Server entsprechend konfigurieren, aber das ist subjektiv :)

Super, dann werden jetzt vielleicht auch die Attacken auf Private weniger.

Ich frage mich da gerade eher, was die Failover IP soll wenn nur ein System gemietet ist (HW). Das ist doch dann relativ nutzlos. Und zwei pfSensen bedarf es dann auch nicht wirklich, wenn doch alles auf einem ESXi läuft. Es ist zwar dann schön, wenn man das intern virtuell nett HA baut, aber wozu -> ist der ESX weg ist eh alles weg. Mir ist da der Sinn und Nutzen nicht ganz klar und ob der OP die Terminologie richtig verstanden hat/nutzt. Eine Failover IP nutze ich ja nur dann wenn ich bspw. 2 Systeme anmiete, eines (auf das die IP zeigt) abschimmelt und ich dann das andere aktiv machen möchte.

Hi Bei den Firewallregeln sehe ich mal kein Problem. Snort ist da schon etwas hungriger (selbiges gilt im übrigen auch für squid). Ob da der Doppelkerner nicht zur überhitzenden Bremse wird, halte ich für fraglich. Und bei Openvpn kommt es auf die Verschlüsselung an, und was das CPU Integrierte AES-NI zu leisten vermag. Denke mal das du bei 400 Mbit deine Anforderungen nicht zu hoch stecken solltest. Ich halte es daher für besser in den sauren Apfel zu beißen, und allenfalls die SG-4860 in Betracht zu ziehen.

Hey danke für den Link, jedoch kenne ich den. Schwerpunkt meiner Frage bezieht sich auf die Art des Load-Balancings. Session Based kombiniert alle Leitungen aber jede Session geht über eine andere IP. Das möchte ich vorerst vermeiden.

Die MAC Adresse wirst du nicht direkt in einer Regel verwenden können. Du kannst damit aber im DHCP ein statisches IP Mapping für das iPad konfigurieren und dieser IP dann in einer Firewall Regel erlauben, was immer du möchtest.

Hab es hinbekommen: Folgendes hab ich geändert: 1. Bei der Installation des Updates wurde auch die VHOST-Erweiterung gelöscht, ich hatte die Fehlermeldungen als Custom-Errors von der PFSense ausgeliefert, das läuft nun auf einem internen Server. Der entsprechende Eintrag in den Squid-Settings musste angepasst werden. 2. Auf der pFsense hab ich die /etc/inc/captiveportal.inc gegen diese getauscht: https://github.com/pfsense/pfsense/blob/master/src/etc/inc/captiveportal.inc Als ich squid über den servicemanager starten wollte, lief es schon.  ??? logs sehen gut aus Christian

Hallo, Vielen Dank das du mir Helfen möchtest. Anbei die Screenshots. Falls du noch welche wünscht kein Problem. Vielen Dank lg Daniel Ps: aktueller Stand der Gateway, trotzdem geht alles über die ADSL gateway. Erst wenn diese down ist wird umgeschaltet. [image: firewall.png] [image: firewall.png_thumb] [image: gateways.png] [image: gateways.png_thumb]  

Hallo alle zusammen, Ich hole das mal wieder nach oben, das ganze wird langsam ernst….. Ich habe mal Skizziert um was  es geht und wie ich das in der pfSense konfiguriert habe.... Ich muss also für den Bereich 10.33.34.50-254 ein BINAT machen auf die 10.60.62.50-254 - weil ein Serverdienst im Geschlossenem Sachsen-weitem Netzwerk mit NAT nicht umgehen kann und die Clients sonst nicht sieht. Dazu kommt noch das alle Anfragen an den zentralen Proxy über das ADSL Interface erfolgen sollen. Ohne BINAT ist das alles kein Thema und schon einige male im Einsatz... Aber mit - da muss ich doch mal um Hilfe bitten.... Gruß Thomas [image: BNAT_pfSense.PNG] [image: BNAT_pfSense.PNG_thumb] [image: Routing2_Leitungen.png] [image: Routing2_Leitungen.png_thumb]

DANKE  :D  !!

@Wallyrt: ja genau am LAN Port 1. Im Zyxel ist der VLAN Port 7 jedoch noch gesetzt. (und im pfsense auch) Vielleicht liegt hier der Hase im Pfeffer ? Darauf bin ich diese Woche auch schon reingefallen  ::)

@bt25: Ich bin davon ausgegangen das alles was nicht Erlaubt ist geblockt wird und das die Rules sich auf das beziehen was in das Interface von außen rein kommt. Genau so verhält es sich. @bt25: also dachte ich ich muss von dem was in das LAN Interface vom WLAN Interface her rein kommt diejenigen blocken die nicht im Alias sind. Aber nicht so. Du musst du Regeln immer an dem Interface erstellen, an dem der Traffic in die pfSense reinkommt, hier also am WLAN Interface. Mit deiner letzten Regel sollte das so funktionieren, wie du es möchtest. Mit der Block-Regel am WLAN und Destination = "LAN net" hätte es allerdings auch funktionieren müssen.

Du tust der Telekom aber unrecht. Wenn ich mich recht erinnere, sollte das ganze statisch werden und dann kam der Aufschrei der Datenschützer. http://www.computerwoche.de/a/anonymitaet-soll-auch-im-internet-der-zukunft-garantiert-sein,2500429 Schlag mich nicht für das Magazin  :o, hab es dort nur als erstes gefunden … Gruß pfadmin

Das sind schlicht und einfach nur Bezeichner für weitere IP Adressen auf die die Firewall an der WAN Seite gelauscht hatte. host1    1.2.3.4 host2    1.2.3.5 host3    1.2.3.6 usw. Erst dann hat das WAN Interface auf entsprechende IP reagiert und man konnte sie zusätzlich "nutzen". ipcop und ipfire arbeiten damit. http://wiki.ipfire.org/en/configuration/network/aliases Der Pendant bei der pfsense dürfte unter: Firewall -> Virtual IPs  [Add] Type:IP Alias / Interface:WAN zu finden sein.

Hallo, erst einmal eine Standardfrage in deinem Konstrukt: Warum versuchst du an dieser Stelle Layer 2 zu tunneln? Es wäre viel einfacher und in der Regel generell robuster, übersichtlicher und sicherer hier einen Tunnel mit Routing aufzubauen. Gibt es hier eine spezielle Anforderung, weshalb du Layer 2 benötigst?

OK, danke für den Hinweis. Ich will gucken wie es dann ans laufen bekomme. Ich melde mich wenn ich Ergebnise vorweisen kann  ;) ;) MFG Blue_Moon