Vielen Dank an alle, konnte das Problem mit Filterregeln lösen….

Hi,

WAN Details bekommst du bei Unitymedia m.W. egal ob Privat oder Business immer per DHCP, deshalb wollen die bei Business Tarifen im Normalfall auch die MAC Adresse des Geräts/Interfaces, das die Verbindung via Bridging Mode aufbaut. Die IP fix zu konfigurieren führt m.W. immer wieder zu Problemen, wenn UM mal die Konfiguration intern mal wieder ändert und man dann suchen kann, warum man plötzlich kein Internet mehr hat.

Gruß

Samba sollte sich an der Stelle genauso via LDAP einbinden lassen wie ein MS AD ebenso. Ein Beispiel dass es funktionieren sollte, ist hier gegeben:

https://oitibs.com/pfsense-samba4-authentication/

Grüße

Hi matzelorenz,

genau die OPT1 war es. Habe Regeln erstellt und schwup ging es….

Vielen Dank für den Hint....

Dankeschön! Es funktioniert wieder :)
Gruß Marius

Nachdem ich nun die Modems geupdatet habe auf die aktuellste Firmware und überall mehrere Neutarts durchführt habe scheint die Verbindung stabiler zu laufen. Wie lange muss sich noch zeigen.

Allerdings habe ich immer noch folgendes im Log der FW1 recht häufig:

Jul 8 14:41:29 charon 04[ENC] <con2|1>parsed INFORMATIONAL request 73 [ ]
Jul 8 14:41:29 charon 04[NET] <con2|1>received packet: from 46.182.150.187[4500] to 10.10.1.1[4500] (96 bytes)
Jul 8 14:41:25 charon 16[KNL] <con2|1>unable to query SAD entry with SPI c64d75c7: No such file or directory (2)
Jul 8 14:41:25 charon 16[KNL] <con2|1>unable to query SAD entry with SPI c89f5115: No such file or directory (2)
Jul 8 14:41:19 charon 08[KNL] <con2|1>unable to query SAD entry with SPI c64d75c7: No such file or directory (2)
Jul 8 14:41:19 charon 08[KNL] <con2|1>unable to query SAD entry with SPI c89f5115: No such file or directory (2)</con2|1></con2|1></con2|1></con2|1>
Jul 8 14:41:19 charon 08[NET] <con2|1>sending packet: from 10.10.1.1[4500] to 46.182.150.187[4500] (96 bytes)
Jul 8 14:41:19 charon 08[ENC] <con2|1>generating INFORMATIONAL response 72 [ ]
Jul 8 14:41:19 charon 08[ENC] <con2|1>parsed INFORMATIONAL request 72 [ ]
Jul 8 14:41:19 charon 08[NET] <con2|1>received packet: from 46.182.150.187[4500] to 10.10.1.1[4500] (96 bytes)</con2|1></con2|1></con2|1></con2|1></con2|1></con2|1>

Was ist das? Irgendwie finde ich dazu nicht wirklich etwas…

EDIT:
zwischendurch habe ich mal wieder 2-3 Request Timeout. Dann ist wieder alles ok. Zu der Zeit passiert in den Logs gar nichts bis auf:

FW1:

Time Process PID Message
Jul 8 14:48:14 charon 08[NET] <con2|1>sending packet: from 10.10.1.1[4500] to 46.182.150.187[4500] (96 bytes)
Jul 8 14:48:14 charon 08[ENC] <con2|1>generating INFORMATIONAL response 113 [ ]
Jul 8 14:48:14 charon 08[ENC] <con2|1>parsed INFORMATIONAL request 113 [ ]</con2|1></con2|1></con2|1>

FW-Extern:

Jul 8 14:48:23 charon: 05[ENC] <con1|88>parsed INFORMATIONAL response 114 [ ]
Jul 8 14:48:23 charon: 05[NET] <con1|88>received packet: from 87.128.103.38[4500] to 46.182.150.187[4500] (96 bytes)
Jul 8 14:48:23 charon: 11[NET] <con1|88>sending packet: from 46.182.150.187[4500] to 87.128.103.38[4500] (96 bytes)
Jul 8 14:48:23 charon: 11[ENC] <con1|88>generating INFORMATIONAL request 114 [ ]
Jul 8 14:48:23 charon: 11[IKE] <con1|88>sending DPD request
Jul 8 14:48:13 charon: 11[ENC] <con1|88>parsed INFORMATIONAL response 113 [ ]</con1|88></con1|88></con1|88></con1|88></con1|88></con1|88>

Super! Vielen dank für deine Bestätigung.  8)

Ah i see,

also steht zwar als DNS das interface vom VLAN drinnen aber im endeffekt nimmt er die DNS Server die unter General Setup eingetragen sind, richtig?

So .. das läuft jetzt …

Auf der vorgelagerten PFsense ist das so:

IPv4 hat eine feste IP vom Provider. Es gibt ein GIF-IF wo ich das /64-Netz eingetragen habe, was mich mit dem Tunnelprovider verbindet (Tunnel-Subnet) Ein neues IPv6-IF unter "interface assignment" wird mit dem GIF verbunden Bei dem LAN-IF wird als statische IPv6 die erste Adresse des gerouteten /64-Subnetzes des Tunnelproviders eingetragen Ein Gateway wird angelegt auf dem IPv6-IF, was oben erwähnt wurde. Das muss ein DefaultGW sein. Das /48-subnetz des Tunnels wird als statische Route angelegt und weist auf die vIP des CARP-Clusters hin. in der Firewall muss man das /48-Subnetz auf dem LAN erlauben any/any

Auf dem CARP-Cluster:

Auf jedem Member muss auf dem entsprechenden WAN-IF, an das der vorgelagerte Router liefern soll, eine statische IPv6 aus dem gerouteten IPv6 angelegt werden Man braucht eine vIP für dieses WAN IF welche das Ziel der Route von der vorgelagerten Sense ist für das LAN muss man auf den echten IF je eine IPv6 aus einem /64-Subnetz (aus dem Bereich des gerouteten /48-Subnetzes) festlegen. Man hat 65536 solche /64-Subnetze ... also reicht erst mal ein paar Tage :D Man braucht eine vIP für dieses LAN IF Für das LAN-IF muss man unter DHCPv6-Router Advertisements den "unmanaged" modus aktivieren und als RA Interface die vIP des IPv6-LAN angeben.

Wenn ich nix vergessen habe, wars das ... aber ich bin auch nur mit viel Hilfe an den Punkt gekommen...
Die Clients bekommen dann per SLaC eine private und öffentliche IPv6 (nicht per DHCP) ... Also abhängig von der MAC. Die Private ist dabei immer gleich.

Wenn man einen Server von außen unter einer IPv6 erreiche will, muss man noch in der Firwall ankommende Regeln anlegen. NAT ist ja nicht erfoderlich, da wir für alle Zeiten ausreichen feste IPv6 Adressen haben, für jeden Staubflusen hier im Office.

Danke dir war wirklich nur der Default Gateway :o
Aber nein die pfSense läuft auch nur als VM. Und ist an zwei vSwithes angeschlossen. Einer WAN der andere LAN, jeder mit eigener Netzwerkkarte. Das Management interface ist wie alle anderen Services und echten Rechner an den LAN seitigen vSwitch angeschlossen.
Grüße Chris

ja, man kann das Squid Paket installieren und dort den transparent Proxy aktivieren.
Dann kann man mit einem zweiten Paket "Lightsquid" interaktiv die aufgerufenen Seiten analysieren, bzw. die Daten herunterladen und eigene Auswertungen daraus generieren.

Nein, die FB ist für den VoIP Client  der Server
Die pfSense ist zwischen Client und Fritzbox

Das ist was er gepostet hat:
1. Ich versuche mich im lokalen Netzwerk mit einem VoIP-Client über SIP auf einer FritzBox anzumelden
2. Diagramm: VoIP Client <-> pfSense <-> FritzBox <-> Internet

Es gibt in dieser Konfiguration keinerlei Grund anzunehmen, dass die Fritzbox zur Telekom irgendwelche RTP Problem haben könnte.

@please:

Da ich Telekom-Kunde bin möchte ich nicht das Wagnis mit 2.3 eingehen und bleibe daher lieber vorerst auf 2.2.6.

Sind wir auch und alle zwei pfSense laufen auf 2.3.1-p5, wo ist das Problem?

Und zu guter Letzt, in 2.3 wurde das Paket mangels Pflegepersonal rausgeworfen.

Gruß
pfadmin

Hi,

also nur um ganz sicher zu gehen, mit VLAN meine ich nicht WLAN. Es liest sich komisch, wenn du schreibst, "Das Vlan tut…", denn es ist nicht nur ein VLAN.

Deine Zeichnung passt dann aber noch nicht zu deiner Aussage mit den vier Adaptern, kannst du das bitte aufzeichnen und trotzdem auch noch die VLAN Struktur mit einzeichnen? Ich versteh sonst noch nicht dein Vorhaben.

Gruß
pfadmin

Beispiel:

WAN / Internet
            :
            : DialUp-/PPPoE-/Cable-/whatever-Provider
            :
      .-----+-----.
      |  Gateway  |  (or Router, CableModem, whatever)
      '-----+-----'
            |
        WAN | IP or Protocol
            |
      .-----+-----.  priv. DMZ  .------------.
      |  pfSense  +-------------+ DMZ-Server |
      '-----+-----' 172.16.16.1 '------------'
            |
        LAN | 10.0.0.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)

Als Workaround könntest du Masquerading für den AP machen.

Geh mal unter Reverse Proxy / General

Dort unter die Sektion: Squid Reverse Security Settings.

Da wird bei dir wahrscheinlich Modern stehen, wechsle auf Intermediate.

Bei mir wars im Zusammenhang mit iPad und Exchange.

RESERVIERT FÜR ZUKÜNFTIGE ERGÄNZUNGEN

hm.. ..hätte nicht gedacht daß das so schwer sein würde. Wirklich niemand der das weiss, oder zumindest weis wo man nachsehen kann?