Hi,

also nur um ganz sicher zu gehen, mit VLAN meine ich nicht WLAN. Es liest sich komisch, wenn du schreibst, "Das Vlan tut…", denn es ist nicht nur ein VLAN.

Deine Zeichnung passt dann aber noch nicht zu deiner Aussage mit den vier Adaptern, kannst du das bitte aufzeichnen und trotzdem auch noch die VLAN Struktur mit einzeichnen? Ich versteh sonst noch nicht dein Vorhaben.

Gruß
pfadmin

Beispiel:

WAN / Internet
            :
            : DialUp-/PPPoE-/Cable-/whatever-Provider
            :
      .-----+-----.
      |  Gateway  |  (or Router, CableModem, whatever)
      '-----+-----'
            |
        WAN | IP or Protocol
            |
      .-----+-----.  priv. DMZ  .------------.
      |  pfSense  +-------------+ DMZ-Server |
      '-----+-----' 172.16.16.1 '------------'
            |
        LAN | 10.0.0.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)

Als Workaround könntest du Masquerading für den AP machen.

Geh mal unter Reverse Proxy / General

Dort unter die Sektion: Squid Reverse Security Settings.

Da wird bei dir wahrscheinlich Modern stehen, wechsle auf Intermediate.

Bei mir wars im Zusammenhang mit iPad und Exchange.

RESERVIERT FÜR ZUKÜNFTIGE ERGÄNZUNGEN

hm.. ..hätte nicht gedacht daß das so schwer sein würde. Wirklich niemand der das weiss, oder zumindest weis wo man nachsehen kann?

lüppt  ;D

Danke

Danke für das Feedback. Ich habe mich auf der Seite mal umgeschaut und bin gespannt wer sich alles noch hier meldet.

@ JeGr:
vielen Dank! Es lag anscheinend einfach nur an einem fehlenden Update; das ist zwar verwunderlich, weil ich den C7 im Vorfeld mehrmals komplett neu installiert hatte (mit aktueller Firmware), ein Update über die bestehende Konfiguration hat den Fehler aber scheinbar gelöst.
Weder gab es Verbindungsabbrüche im Problem-WLAN, noch hat sich die Internetverbindung getrennt (außer beim schlechtem Wetter, was scheinbar ein lokales T-Online Problem ist).

Bitte teile uns deine Konfiguration mit (Kanal, Bandbreite, Verschlüsselung usw. ) sowie einen Scan der WLAN Umgebung mittels INSSID (Windows) oder WiFiOverview (Android) am Routerstandort und von anderen kritischen Standorten.

Anbei als Screenshots. => http://imgur.com/a/okRAW

Meine Netze sind Milleniumfalcon (langsam) und Deathstar (schnell). Deathstar macht wie gesagt grundsätzlich keine Probleme, von der Leistung bzw. Entfernung abgesehen, was ja aber wohl "dazu gehört".

Deshalb, egal was hier rauskommt, "b" unbedingt abschalten, wenns geht auch "g". Falls du noch Geräte für "b" hast, ab ins Museum!

Mein Brother DCP 7055W kann afaik tatsächlich nur "b". Da das Einrichten der blanke Horror ist (Gerät zurücksetzen, Einrichtung starten, IP -ändert sich immer aufs Neue- ausdrucken lassen, Access Point aktivieren, verbinden, dann mit Anfang-der-90er-Geschwindigkeit mit dem Webinterface des Druckers verbinden), kann ich das nicht mal eben schnell testen.
Aufgrund mehrerer Geräte im Netzwerk benötigen wir eigentlich die Wifi-Fähigkeit des Druckers, aber wahrscheinlich ist das Passwort zu lang und/oder es liegt an den Sonderzeichen -.- Wenn ich hier nicht zeitnah eine Lösung finde, kann "b" gerne deaktiviert werden ^^ Die Kiste kann auch weder mit meinem Synology NAS betrieben werden, noch über einen Raspberry Pi über CUPS angesteuert werden. Definitiv ein Blutdruckerhöher…

Deshalb für Schnelle Kandidaten die meist eh 5GHz können lieber dort nur Geräte rein die Fullspeed können, alles andere was langsam sein darf tummelt sich dann in 2,4GHz das eh überlaufen ist.

So wurde es mir damals auch erklärt. Setup ist ungefähr so: mein Laptop und Smartphone nach Möglichkeit (also gegebenem Empfang) im "schnelleren" Netz, alle anderen im langsameren. Ist die Entfernung zu groß, wechseln meine Geräte ebenfalls ins langsamere Netz.

Da es aktuell keine Verbindungsprobleme gab, kann ich genau jetzt keine Logfiles der Errors posten.

@Bordi: Danke für deine Rückantwort. Nachdem ich vor einigen Wochen unsere bisherige 19" Firewall-Appliance (auf Alix-Basis) verkaufen musste weil es scheinbar kaum Abnehmer hierfür gibt, möchte ich natürlich zukünftig eher darauf setzen, die richtige Wahl zu treffen und die Hardware länger zu nutzen. Im 19" Bereich gibt es leider aber auch nichts passendes direkt im pfsense Store, obwohl die Hardware selbst (neben dem Gehäuse-Format) sehr wohl schon passen würde. Ich werde einmal prüfen müssen, ob 3 Ports mit VLANs hier noch passen, oder ob es besser direkt 4 physikalische Ports sein müssten…

Kleiner Push.

Wenn ich die PfSense auf Werkseinstellungen zurücksetze, ist dies einem reinstall gleichzusetzen? An irgendwas muss es ja liegen…

Ja, du musst in den "Target categories" die URLs eintragen, die du freigeben willst.
Anschließend setzt du diese "Target categoriy" in "Common ACL" auf whitelist.

"Whitelist" ist gleichbedeutend mit "allow", allerdings ist "Whitelist" mächtiger als "deny". Insofern würden diese Seiten erreichbar sein.

Ich bin nicht 100% sicher, ggf solltest du diese "Target categories", wenn du sie erstellst/editierst, bei der "Order" ganz nach oben schieben. Bin mir aber nicht sicher, ob das notwendig ist oder nicht.

Benutzt du "Group ACLs" ? Dann musst du dort entsprechend die Order auch anpassen.

PS:
Ich bin unsicher, aber wenn du in "Domain List" eingibst "parship.de", dann bedeutet das wohl nicht zwangsläufig, dass auch subdomains freigegeben werden. In diesem fall müsstest du es wohl als "RegEx" probieren:

oder so - bin bei RegEx immer so unsicher:

HINWEIS:
SquidGuard Änderungen werden erst aktiviert, wenn du unter "General" zuerst "Save" klickst und anschließend "Apply". Reihenfolge einhalten, nichts vergessen, sonst klappt es nicht zuverlässig.

Habe das Problem gefunden, die SSD M-Sata Karte saß im falschen Slot. Mit Sicht auf das Board muss sie direkt in dem ersten Anschluß gegenüber der seriellen Schnittstelle eingefügt werden…..Meine saß im Dritten....

@Forsaked:

Also auf der UK-Seite wird ganz klar von FreeBSD und pfSense als Einsatzmöglichkeit gesprochen.

…mit der kleinen Einschränkung: (all assuming running on a compatible O/S)
Derzeit ist das vermutlich mehr Wunsch als Realität und eine Priese "die Community wird sich darum schön kümmern".

Disclaimer: Nutzung auf eigene Gefahr :D

Und vielleicht hat noch jemand v2.2.x installiert und kann mal prüfen, ob das auch noch bei den 2.2ern klappt. Da es das neue pkg Binary voraussetzt, läuft es auf 2.1 wegen altem FreeBSD natürlich nicht.

Danke für den vielen Input, ich werde mich dann mal in die "scharfe" Umgebung begeben…. ;)

So, nun geht es.
Habe versessen zu erwähnen, dass ich xenserver nutze. Habe dort und in pfSense die Offloads deaktiviert. Nun ist die volle Bandbreite vorhanden.

Jetzt habe ich nur noch das Problem, dass die Gateways als Offline angezeigt werden.
Ich kann nur bei einem die 8.8.8.8 nutzen. Habe bei den anderen z.B. eine google IP genommen (216.58.213.195). Ich kann auch diese IP mit dem identischen Interface anpingen ohne Verluste.
Wenn ich die IP vom Router dahinter angebe werden sie als online angezeigt. Jedoch werden bei einem Internetverlust auf einem Router die Interfaces ja dann nicht mehr benutzt.

Du musst die Verbindung vom VPN Provider natürlich noch auf dein LAN Natten, damit auch alleine deine Rechner die VPN Verbindung nutzen können.

Die ganzen Pass Rules würde ich erst mal rausnehmen. (Außer beim LAN natürlich.)

Dann schaust du dir mal das an : https://www.infotechwerx.com/blog/Creating-Policy-Route-to-Send-All-Traffic-Host-Through-OpenVPN

Dort siehst du, dass du noch die Outbound NAT Regel für das VPN erstellen musst. Sobald getan sollte eigentlich alles glatt laufen.

Grüße