Hallo,

Lan ist direkt Onboard bei der pfsense…

Hab jetzt FB Stecker gezogen -> Neustart
pfSense runtergefahren -> Neustart....ein Reboot hatte ich mehrmals durchgeführt, war erfolglos.

jetzt gehts...

Danke & Grüße

@JeGr:

Bringt es was, die WebGUI auf nen ganz anderen Port zu packen?

Nein - ist bei mir schon immer auf einem anderen Port.

@ Crashbreacker

Du sollstest Dich erstmal über Zertifikate schlau machen, dann kommst Du selber drauf wie das läuft.

Kurz zur Info :

Du hast ein selbst signiertes Zertifikat erstellt, das mängelt der Browser als unsicher an ( je nach Sicherheitseinstellungen ), diese Zertifikate kann der User als vetrauenswürdig akzeptieren, dann wird die Seite geladen ( bei Deinem Screenshot von der Seite auf Erweitert klicken ). wenn Du ein von einer öffentlichen CA signiertes Zertifikat einbindest bemängelt das der Browser nicht.
ABER : wenn Du im CP auf HTTPS setzt und ein User startet seinen Browser mit einer HTTPS-Seite ( z.B. google nutzt https ), dann wird die Seite ja auf Deine https-CP-Seite umgeleitet und dafür ist weder ein selbst signiertes noch von einer öffentlichen CA signiertes Zertifikat gültig, so dass IMMER ein Zertifikatsfehler angezeigt wird. Richtig umgeleitet wird, wenn der User mit einer http-Seite startet. wenn Du im CP die Option "Disable HTTPS Forwards" aktivierst funktioniert der Aufruf der CP-Seite von einer HTTPS-Seite aus gar nicht ( Browser Fehler wird angezeigt ).

Hinzu kommt noch der leidige Fehler seit 2.3.1 mit nginx, der bei Webkonfigurator-Einstellung https nicht auf die Squidguard-Fehlerseiten umleitet.

Im übrigen wäre ich froh, wenn ich auf meine Fragen hier im Forum nur annähernd soviel Feedback bekommen würde wie Du ( aber die sind wahrscheinlich zu speziell ).

Gruss

@JeGr:

Wenn man die VIP aufsetzt ist ja der Adskew Wert zu definieren und default ist da 0.

Ich hab mal nachgesehen … alle älteren vIP-Adskew-Werte waren 100/200 ... die von den neueren Interfaces (IPv6) 0/100

also keine Ahnung wie das entstanden ist. ich habe da meines Erachtens nicht manuell eingegriffen.

mit der über einen externen Linux host mit freeRADIUS
Benutzer authentifiziert werden sollen. Wer hat hier Erfahrung?

Warum muss/soll das denn über einen externen freeRadius Host passieren?

Gruß Jens

Hallo,
Netzwerktechnisch bin ich ganz fit. Die Sicherheitsprobleme war ein grund warum die Easybox weg muss aber der ausschlaggebende war dann die schlechte Leistung. Bei Normalbetrieb hatte die Easybox 95% cpuauslastung und dem entsprechend gut bzw. schlecht ging das internet. Man muss aber dazu sagen, dass bei normaler Nutzung etwa 35 Geräte gleichzeitig Angeschlossen waren. Darum wollte ich meinen alten Pc (6 kerne AMD und 2gb ram) als Router benutzen. Wlan sollte ivon einem Airport Extrem kommen.

Nur mit zusätzlichem Aufwand bzw. Equipment lässt sich das m.E. realisieren. Möglich wäre eine Nutzung via Captive Portal, Freeradius und MySQL (extern) um einen DataCounter zu simulieren. Es geht im Prinzip darum, dass die meisten Dienste Traffic -> bandbreitenbasiert sind, und nicht Data Limit -> volumenbasiert umsetzen.

Grüße

Für das OpenVPN gab es ein Problem mit den Firewall-Regeln.
Ich habe ja die Regeln gepostet. und es fehlte an der Stelle schlicht eine Regel.

Und zwar vom Remote-Netz über das Tunnel-Netz in's lokale Netz hier.

Aber es gab noch einige andere Probleme, und deswegen hat sich der Betrag für Gold+Support (immerhin 500 US$) gelohnt!

Moin,

habe jetzt das Logging mal umgestellt, mal sehen ob jetzt was kommt, dummerweise hat "mein Verdächtiger" für diese Woche einen gelben Schein… :o

-teddy

Hi,

unter http://atxfiles.pfsense.org/mirror/downloads/old/ findet man unter anderem die offiziellen alten Versionen, nicht alle Mirrors haben allerdings das old Verzeichnis gespiegelt.

Grüße

Guten Tag,

er letzte Post ist ein wenig her. Aber ich will trotzdem mein Senf kurz dazu geben.

Ich hatte das gleiche bzw. ähnliches Problem, allerding mit einem anderen Firewallhersteller, das kein 6in4 Tunnel zustande kam.

Die Ursache meines Problems war die Fritzbox. Die hat IP Protokoll 41 Pakete abgefangen.
Nach dem ich die IPv6 Unterstützung auf der Fritzbox deaktiviert hatte, funktionierte alles wie gewollt.

Vielleicht hilf's, vielleicht auch nicht.

Ich hätte einen Backup auf 32bit gemacht und dann 64 bit installiert und die Einstellungen wiederhergestellt. Die Frage ist passen die Backups von 32 auf 64?

Das Backup ist in XML und damit unabhängig von irgendwelchen Plattformen. Du kannst daher einfach die gespeicherte Datei als config.xml nehmen, einen USB Stick mit FAT formatieren und dort einen Ordner "conf" anlegen und dort diese Konfiguration hinpacken. Dann einfach den Stick bei der Neuinstallation des Geräts mit einstecken, dann sollte direkt schon die Konfiguration beim Installieren mitgenommen und beim ersten Booten gelesen werden.

Grüße

@semonia,
ich möchte das alle Pakete über pfSense verlaufen. Zum einen wegen der Struktur und der Übersicht und zum anderen ergeben sich dadurch erweiterte Analyse-und Priorisierungsmöglichkeiten.
Zudem ist die 2. Fritzbox nicht direkt per Kabel angebunden. Es ist eine Richtfunkstrecke über 800m (je zwei TPlink CPE210). Wird nicht nur für Telefonie genutzt, sondern auf der anderen Seite wird auch noch Fern geschaut (Sat2IP) und gesurft. Das läuft bereits seit über einem Jahr, die Clientin ('Mutti') ist hochzufrieden :)

@pfadmin & FFK,
das Abschalten des Natting an der pfsense war der entscheidende Tipp.
Somit habe ich mich mit dem Thema beschäftigt und verstehe nun die Grundprinzipien von statische Routen sowie dem 'natten'.
Danke euch.

Habe mir mal etwas Mühe gegeben und ein etwas vollständigere Topology aufzuzeichnen (fehlt aber immer noch die Hälfte :) )
Läuft seit einigen Tagen ohne Störungen. Habe die Details in die jeweiligen Geräte (Fritzbox 7490 & 7270, Gigaset n510 und pfsense) eingezeichnet.

Edit: Zeichnung korrigiert.

Haus.png
Haus.png_thumb

Yay, freut mich :)

Hehe kein Problem :)

Bin dabei.

Ja genau, 5060.

Bin auch gerne mal bereit sowas im TS durchzusprechen wenn wer Interesse hat.

Deshalb denke ich macht es bei festen IP Adressen keinen Sinn, DHCP einzustellen.

Doch genau deshalb ;) Hast dus schon versucht auf DHCP zu stellen? Wir hatte das bei einem anderen Kunden ebenfalls mit Business Anschluß auch, dort hat DHCP problemlos funktioniert!

Grüße

Wenn deine Fritz als Router arbeiten soll, müssen die IP Netze auf WAN und LAN Seite verschieden sein, deine sind gleich! Das wird so nie funktionieren.

Die Regeln werden nicht MIT angelegt, es sind DIE Regeln.

OpenVPN ist nicht einfacher, sondern viel sicherer. Als Fileserver ist das so sicher machbar, aus Sicherheitssicht eine Katastrophe. Aber das mußt du selbst einschätzen.
Ftp ist schwierig zu handhaben, da hier mehrere Ports und auch noch aktiv/passiv mitspielen. Lass das lieber von außen!