Eine Geschwindigkeitsbegrenzung pro Schnittstelle durchführen Das ließe sich IMHO mit dem Shaper machen. Einen Traffic Report pro Tag, das heißt einmal am Tag wird eine Mail versendet, in der steht welche Schnittstelle wie viel Traffic generiert hat Eine Grafik lässt sich versenden mit der täglichen Ansicht (mailreport package). Aber Daten dazu werden m.W. nicht gesammelt. Dazu braucht es andere Pakete. Am Sinnvollsten lässt du das aber gar nicht erst auf der pfSense machen, sondern lässt diese die Daten via Flows an einen Flow Collector senden und machst auf dieser Kiste dann die Traffic Auswertung etc. Eine Begrenzung pro Schnittstelle bei Verbrauch X auf Geschwindigkeit Y ist IMHO nicht wirklich (schön) lösbar. Gruß

@JeGr: Sehr diffuses Fehlerbild… gibt es denn für ADSL2 irgendwelche Meldungen evtl aus dem PPP Log? im log der pfSense steht dazu nichts. Werde aber morgen noch einmal die Meldungen vom Modem durchgehen. Habe jetzt die Firewall auf einem anderen PC installiert. Selbiges Ergebnis, auch mit (viel) mehr Leistung.

Also des Rätsels Lösung war: auf dem 192.168.1.2 eine Rule eintragen: Protocol:IPv4* Source:172.16.100.0/24 Port:* Destination:LAN net Port:* Gateway:(Name des lokalen GW auf .1.1) Was jetzt im Nachhinein logisch ist. Vielen Dank und viele Grüße JBBERLIN

Moin, gerade ausprobiert, kann ich nicht bestätigen. Heise.de im Squid der pfSense gesperrt. Habe in das Feld Bypass Proxy for These Source IPs" einen Eintrag "server" getätigt, mein Host tux wird nach wie vor zwangsbeglückt mit der Filterung. Habe dann den server als Proxy im tux eingetragen und ich komme wieder raus auf Heise.de. Funktioniert bei Dir die Namensauflösung auf den Hosteintrag sauber? -teddy

Dann wäre es vermutlich an der Zeit ein Bugreport zu erstellen (wenn es noch keinen gibt).

Ich habe gesehen das es mittlerweile eine neue Version von Squid gibt, mal schauen ob es dort dasselbe Problem gibt. Ohne den Destination Bypass weiß ich leider nicht wie ich es hinbekommen soll das meine Clients mit Windows Updates versorgt werden.

Man kann nicht mehrere Ports in einer Regel angeben, bestenfalls einen Bereich mithilfe der From und To Felder. Für dein Vorhaben musst erst einen Port-Alias (Firewall > Alias) mit den drei Ports anlegen, dann in der Regel als Port "(other)" selektieren, dann kann im Feld custom der Alias ausgewählt werden.

Wäre eine schöne Erklärung, ist aber leider nicht so, betrifft auch andere Seiten. Bei vielen Seiten habe ich das Gefühl, dass sie langsamer laden.

Ich würde mal mit den erweiterten Netzwerkeinstellungen variieren, also TSO, LTO, Hardware offloading etc.

Super, freut uns!

Die Brechstange war ja auch mit einem ;) Augenzwinkern. Aber es gestaltet sich da eben tatsächlich so, dass wenn du keinen Tunnel baust, der aufgebaut bleibt, du Probleme haben wirst, es so zu lösen, dass es keine Datenverbindungen gibt, die um das VPN herum aufgebaut werden und dich direkt verbinden/identifizieren. Lässt du den Tunnel stehen, kann man hier natürlich den DNS auf der Tunnelgegenseite nutzen aber das hat dann die beschriebenen Konsequenzen. Grüße

Ich will sicherstellen, dass kein Netzsegment es schafft die komplette Leitung zu belegen. Das Verwaltungsnetz braucht eine stabile Internetverbindung um Banking/Terminalserver/EMail-Verbindungen ohne Probleme nutzen zu können. Die anderen Netze sollten eigendlich nur normales Web nutzen. So wie ich das bisher verstanden habe ist der Limiter ein reiner Begrenzer, man kann nur soviel Traffic erzeugen/nutzen wie vorgegeben (ich glaub etwas ähnliches macht DTAG bei der VDSL-Ltg auch, max ist 100MBit und nutzbar ist 50MBit lt. Modem). Soweit wie ich es bisher gesehen habe, erfordert der Traffic-Shaper by Interface etwas mehr Konfiguration. Ist damit natürlich feiner bezüglich der nutzbaren Dienste. Die grobe Einstellung per Limiter reicht mir aber erstmal. btw. Was meinst Du mit "Slots dynamisch vergeben"? Die Einstellungen bei mir sind doch statisch, oder miss verstehe ich was?

IPv6 aktivieren im WAN Interface DHCP Configuration Typ: DHCPv6 Und unter Advanced. –> siehe Screenshot [image: image.png] [image: image.png_thumb]

Schon, wenn Du es transparent schaltest und das VLAN Tagging in der pfSense machst, dann brauchst Du kaum noch auf das web-IF des Modems zugreifen, also kannst/könntest Du Dir das Einrichten einfach sparen. Die DSL-Link Statistiken sind für die meisten nicht ISP Techniker kaum relevant und was anderes gibt's da nicht.

Ansonsten wenn das auftritt das Logging der Regel anschalten und schauen ob geblockt wird. Zusätzlich dann einen Blick in die States werfen und schauen mit was sich die 13er IPs verbunden hat und sehen, ob das auf deine Filterregel trifft. Grüße

@Bonsai: Bis meine eine pfsense aus der Reparatur zurück ist, habe ich nur shared-key auf einem Windoof 2008 Server aufgesetzt. Dann ist das ja gar keine pfSense Frage.  ;D Aber versuch es mal mit push " <route lokales_lan=""><maske>" push "dhcp-option DNS <dns-ip>"</dns-ip></maske></route> Ohne Domäne wird die Namensauflösung damit aber auch nicht gehen.

Das IPMI hab ich mir noch nicht angesehen. Ich nehme an, das ist die Remote-Servicefunktion ähnlich dem IMM wie ich es von unseren IBM/Lenovo Server her gewohnt bin!? Werde ich auf jeden Fall noch machen. Ja eigentlich sogar recht ähnlich. Vielleicht nicht ganz so umfangreich wie ein IMM mit Lizenz aber für das meiste recht es Dicke. OK PXE und Co waren klar, ich dachte das waren jetzt tatsächlich noch System Spezifika mit bei, die hätten mich interessiert ;)

@mr.: Ist's mir immer noch nicht ganz klar, ob der C2758 fur meinen Zweck genung singlethreaded Leistung hat. Schwierig zu beurteilen, auch weil der unterschied zum C2558 nicht so groß ist wie man sich das denken würde. Selbiges gilt auch bezüglich C2558 vs APU2 (wobei der Atom dann doch klar gewinnt). Dennoch der neue C2000 Server Atom überrascht, und setzt sich sehr deutlich vom alten Kriechgangimage ab. An den Xeon-D kommt er aber dennoch nicht ran. Wen du 500mbps mit squid, clamav und/oder snort forderst, könnte dir eine APU2 knapp reichen. Selbiges jedoch über VPN/AES verschlüsselt, könnte der C2558 bereits zu knapp sein. Ich würde da eher auf den Xeon setzen.